Hat hónapos fejlesztés után megjelent az OpenSSH 9.1 kiadás, amely az SSH 2.0 és SFTP protokollokon keresztüli munkavégzéshez egy kliens és szerver nyílt megvalósítása. A kiadás jellemzője, hogy többnyire hibajavításokat tartalmaz, beleértve a memóriaproblémák által okozott lehetséges sebezhetőségeket:
- Egybájtos túlcsordulás az SSH-szalaghirdetés feldolgozó kódjában az ssh-keyscan segédprogramban.
- A free() függvény dupla hívása, ha hiba lép fel az ssh-keygen segédprogramban a digitális aláírások létrehozására és ellenőrzésére szolgáló kódban lévő fájlok kivonatának kiszámításakor.
- A free() függvény kétszeri hívása az ssh-keysign segédprogram hibáinak kezelésekor.
Nagy változások:
- A RequiredRSASize direktíva hozzáadásra került az ssh-hoz és az sshd-hez, amely lehetővé teszi az RSA-kulcsok minimális megengedett méretének meghatározását. Az sshd-ben a kisebb kulcsokat figyelmen kívül hagyja, az ssh-ban pedig a kapcsolat megszakadását eredményezik.
- Az OpenSSH hordozható kiadását úgy alakították át, hogy SSH-kulcsokat használjon a véglegesítések és címkék digitális aláírására a Gitben.
- Az ssh_config és sshd_config konfigurációs fájlokban található SetEnv direktívák mostantól a környezeti változó első említésétől származó értéket alkalmazzák, ha az egynél többször van megadva a konfigurációban (korábban az utolsó említést alkalmazták).
- Ha az ssh-keygen segédprogramot „-A” jelzővel hívja meg (alapértelmezés szerint minden típusú gazdakulcsot generál), a DSA kulcsok generálása, amelyeket alapértelmezés szerint több éve nem használtak, le van tiltva.
- Az sftp-server és az sftp megvalósítja a "kiterjesztést"[e-mail védett]", lehetővé téve az ügyfél számára, hogy egy meghatározott digitális azonosítókészletnek (uid és gid) megfelelő felhasználó- és csoportneveket kérjen. Az sftp-ben ez a kiterjesztés nevek megjelenítésére szolgál egy könyvtár tartalmának megjelenítésekor.
- Az sftp-server megvalósítja a „home-directory” kiterjesztést a ~/ és a ~user/ elérési utak kibővítésére, a korábban javasolt „kiterjesztés” alternatívájaként.[e-mail védett](a „home-directory” kiterjesztés szabványosításra javasolt, és néhány kliens már támogatja).
- Az ssh-keygen és az sshd lehetőséget ad arra, hogy az UTC időzónában időt adjon meg a tanúsítvány és a kulcs érvényességi időközének meghatározásakor, a rendszeridő mellett.
- Az sftp lehetővé teszi további argumentumok megadását a "-D" kapcsolóval (például "/usr/libexec/sftp-server -el debug3").
- Az ssh-keygen lehetővé teszi az "-U" jelző használatát (használja az ssh-agentet) az "-Y jel" műveletekkel együtt annak meghatározására, hogy a privát kulcsokat az ssh-agent tárolja.
Forrás: opennet.ru