Kuuden kuukauden kehitystyön jälkeen on julkaistu OpenSSH 9.1, joka on avoin asiakas- ja palvelintoteutus SSH 2.0- ja SFTP-protokollien yli työskentelyyn. Julkaisun on luonnehdittu sisältävän enimmäkseen virheenkorjauksia, mukaan lukien korjaukset useisiin mahdollisiin muistiongelmien aiheuttamiin haavoittuvuuksiin:
- Yksitavuinen ylivuoto SSH-bannerin käsittelykoodissa ssh-keyscan-apuohjelmassa.
- Kaksoiskutsu free()-funktiolle, jos tapahtuu virhe laskettaessa tiivisteitä tiedostoille koodissa digitaalisten allekirjoitusten luomiseen ja tarkistamiseen ssh-keygen-apuohjelmassa.
- Tuplakutsu free():lle, kun käsitellään virheitä ssh-keysign-apuohjelmassa.
Suurimmat muutokset:
- RequiredRSASize-direktiivi on lisätty ssh- ja sshd-koodeihin, jonka avulla voit määrittää RSA-avaimien pienimmän sallitun koon. Sshd:ssä tätä pienemmät avaimet ohitetaan, kun taas ssh:ssa ne katkaisevat yhteyden.
- OpenSSH:n kannettava versio on muutettu käyttämään SSH-avaimia sitoumusten ja tunnisteiden digitaaliseen allekirjoittamiseen Gitissä.
- SetEnv-käskyt ssh_config- ja sshd_config-määritystiedostoissa käyttävät nyt arvoa ympäristömuuttujan ensimmäisestä esiintymisestä, jos se on määritetty useita kertoja kokoonpanossa (ennen sitä käytettiin viimeistä esiintymää).
- Kun ssh-keygen-apuohjelmaa kutsutaan "-A"-lipulla (kaikentyyppisten isäntäavaimien luominen oletuksena tuettuina), DSA-avaimien luominen, joita ei ole oletuksena käytetty useaan vuoteen, poistetaan käytöstä.
- sftp-server ja sftp toteuttavat "[sähköposti suojattu]”, jolloin asiakas voi pyytää käyttäjien ja ryhmien nimiä, jotka vastaavat määritettyä numeeristen tunnisteiden joukkoa (uid ja gid). Sftp:ssä tätä laajennusta käytetään nimien näyttämiseen listattaessa hakemiston sisältöä.
- sftp-server toteuttaa "home-directory"-laajennuksen laajentaakseen ~/ ja ~user/ polkuja vaihtoehtona "[sähköposti suojattu]("kotihakemisto"-laajennusta ehdotetaan standardointia varten, ja jotkut asiakkaat jo tukevat sitä).
- Lisätty mahdollisuus ssh-keygenille ja sshd:lle määrittää UTC-aika määritettäessä varmenteen ja avaimen voimassaoloaikaväliä järjestelmäajan lisäksi.
- Sftp:ssä lisäargumentit ovat sallittuja "-D"-vaihtoehdossa (esimerkiksi "/usr/libexec/sftp-server -el debug3").
- ssh-keygen sallii "-U"-lipun käytön (käyttäen ssh-agenttia) yhdessä "-Y-merkki"-toimintojen kanssa sen määrittämiseksi, että yksityiset avaimet sijoitetaan ssh-agentiin.
Lähde: opennet.ru