Sei hilabeteko garapenaren ostean askatu , SSH 2.0 eta SFTP protokoloen bidez lan egiteko bezero eta zerbitzarien inplementazio irekia.
Argitalpen berrian arreta berezia ssh, sshd, ssh-add eta ssh-keygen-ek eragiten duen ahultasun bat ezabatzea da. Arazoa XMSS motako gako pribatuak analizatzeko kodean dago eta erasotzaile bati zenbaki osoen gainezka abiarazteko aukera ematen dio. Ahultasuna ustiagarri gisa markatuta dago, baina erabilera gutxikoa, XMSS gakoen euskarria lehenespenez desgaituta dagoen ezaugarri esperimental bat baita (bertsio eramangarriak ez du autoconf-en eraikitze aukerarik ere XMSS gaitzeko).
Aldaketa nagusiak:
- Ssh, sshd eta ssh-agent-en alboko kanaleko erasoen ondorioz RAMan kokatutako gako pribatu bat berreskuratzea eragozten duen kodea, adibidez , ΠΈ . Gako pribatuak orain enkriptatzen dira memorian kargatzen direnean eta erabiltzen denean bakarrik deszifratzen dira, gainerako denboran zifratuta geratzen dira. Planteamendu honekin, gako pribatua arrakastaz berreskuratzeko, erasotzaileak lehenik eta behin ausaz sortutako tarteko gako bat berreskuratu behar du, 16 KB-ko tamainakoa, gako nagusia enkriptatzeko erabiltzen dena, eta hori nekez gertatzen da eraso modernoetan ohikoa den berreskuratze-errore-tasa kontuan hartuta;
- Π Sinadura digitalak sortzeko eta egiaztatzeko eskema sinplifikatuaren euskarri esperimentala gehitu da. Sinadura digitalak diskoan edo ssh-agentean gordetako SSH gako arruntak erabiliz sor daitezke, eta authorized_keys-en antzeko zerbait erabiliz egiaztatu. . Izen-esparruaren informazioa sinadura digitalean sartzen da nahasketa saihesteko eremu ezberdinetan erabiltzen denean (adibidez, posta elektronikorako eta fitxategietarako);
- ssh-keygen lehenespenez aldatu da rsa-sha2-512 algoritmoa erabiltzeko ziurtagiriak RSA gako batean oinarritutako sinadura digitala balioztatzeko (CA moduan lan egiten duzunean). Ziurtagiri horiek ez dira bateragarriak OpenSSH 7.2 aurreko bertsioekin (bateragarritasuna ziurtatzeko, algoritmo mota gainidatzi behar da, adibidez "ssh-keygen -t ssh-rsa -s ..." deituz);
- Ssh-n, ProxyCommand adierazpenak orain "%n" ordezkapenaren hedapena onartzen du (helbide-barran zehaztutako ostalari-izena);
- Ssh eta sshd-ren enkriptazio-algoritmoen zerrendetan, orain "^" karakterea erabil dezakezu algoritmo lehenetsiak txertatzeko. Adibidez, ssh-ed25519 zerrenda lehenetsiari gehitzeko, "HostKeyAlgorithms ^ssh-ed25519" zehaztu dezakezu;
- ssh-keygen-ek gakoari erantsitako iruzkin baten irteera ematen du gako publiko bat pribatu batetik ateratzen denean;
- ssh-keygen-en "-v" bandera erabiltzeko gaitasuna gehitu da gakoen bilaketa-eragiketak egiterakoan (adibidez, "ssh-keygen -vF host"), ostalari bisualaren sinadura zein den zehaztuz;
- Erabiltzeko gaitasuna gehitu da gako pribatuak diskoan gordetzeko formatu alternatibo gisa. PEM formatua lehenespenez erabiltzen jarraitzen du, eta PKCS8 erabilgarria izan daiteke hirugarrenen aplikazioekin bateragarritasuna lortzeko.
Iturria: opennet.ru