Pärast kuuekuulist arendustööd on avaldatud OpenSSH 9.1 väljalase, mis on kliendi ja serveri avatud rakendus SSH 2.0 ja SFTP protokollide üle töötamiseks. Väljalaset iseloomustatakse nii, et see sisaldab peamiselt veaparandusi, sealhulgas mitmeid mäluprobleemidest põhjustatud võimalikke haavatavusi:
- Ühebaidine ületäitumine SSH-bänneri töötlemise koodis ssh-keyscan utiliidis.
- Funktsiooni free() topeltkutse juhul, kui ssh-keygeni utiliidis digitaalallkirjade loomise ja kontrollimise koodis olevate failide räsi arvutamisel ilmneb viga.
- Funktsiooni free() topeltkutse utiliidi ssh-keysign vigade käsitlemisel.
Peamised muudatused:
- Direktiiv RequiredRSASize on lisatud ssh-le ja sshd-le, mis võimaldab teil määrata RSA-võtmete minimaalse lubatud suuruse. Sshd-s ignoreeritakse väiksemaid võtmeid ja ssh-s põhjustavad need ühenduse katkemise.
- OpenSSH kaasaskantav väljaanne on teisendatud kasutama SSH-võtmeid kohustuste ja siltide digitaalseks allkirjastamiseks Gitis.
- SetEnv direktiivid konfiguratsioonifailides ssh_config ja sshd_config rakendavad nüüd väärtust alates keskkonnamuutuja esmamainimisest, kui see on konfiguratsioonis defineeritud mitu korda (varem rakendati viimast mainimist).
- Utiliidi ssh-keygen kutsumisel lipuga "-A" (vaikimisi toetatud igat tüüpi hostivõtmete genereerimine) keelatakse DSA-võtmete genereerimine, mida pole vaikimisi mitu aastat kasutatud.
- sftp-server ja sftp rakendavad laienduse "[meiliga kaitstud]", mis annab kliendile võimaluse taotleda kasutaja- ja rühmanimesid, mis vastavad kindlaksmääratud digitaalsete identifikaatorite komplektile (uid ja gid). Sftp-s kasutatakse seda laiendit nimede kuvamiseks kataloogi sisu kuvamisel.
- sftp-server rakendab kodukataloogi laienduse ~/ ja ~user/ teede laiendamiseks, alternatiivina varem pakutud laiendusele.[meiliga kaitstud]"("kodukataloogi" laiendust pakutakse standardiseerimiseks ja mõned kliendid seda juba toetavad).
- ssh-keygen ja sshd lisavad sertifikaadi ja võtme kehtivusintervallide määramisel lisaks süsteemiajale ka võimaluse määrata kellaaeg UTC ajavööndis.
- sftp võimaldab määrata täiendavaid argumente valikuga "-D" (näiteks "/usr/libexec/sftp-server -el debug3").
- ssh-keygen võimaldab kasutada lippu "-U" (kasuta ssh-agenti) koos "-Y-märgi" operatsioonidega, et teha kindlaks, kas privaatvõtmeid hostib ssh-agent.
Allikas: opennet.ru