Hat hónapos fejlesztés után megjelent az OpenSSH 9.1 kiadás, amely az SSH 2.0 és SFTP protokollokon keresztüli munkavégzéshez egy kliens és szerver nyílt megvalósítása. A kiadás jellemzője, hogy többnyire hibajavításokat tartalmaz, beleértve a memóriaproblémák által okozott lehetséges sebezhetőségeket:
- Egybájtos túlcsordulás az SSH-szalaghirdetés feldolgozó kódjában az ssh-keyscan segédprogramban.
- A free() függvény dupla hívása, ha hiba lép fel az ssh-keygen segédprogramban a digitális aláírások létrehozására és ellenőrzésére szolgáló kódban lévő fájlok kivonatának kiszámításakor.
- A free() függvény kétszeri hívása az ssh-keysign segédprogram hibáinak kezelésekor.
Nagy változások:
- A RequiredRSASize direktíva hozzáadásra került az ssh-hoz és az sshd-hez, amely lehetővé teszi az RSA-kulcsok minimális megengedett méretének meghatározását. Az sshd-ben a kisebb kulcsokat figyelmen kívül hagyja, az ssh-ban pedig a kapcsolat megszakadását eredményezik.
- Az OpenSSH hordozható kiadását úgy alakították át, hogy SSH-kulcsokat használjon a véglegesítések és címkék digitális aláírására a Gitben.
- Az ssh_config és sshd_config konfigurációs fájlokban található SetEnv direktívák mostantól a környezeti változó első említésétől származó értéket alkalmazzák, ha az egynél többször van megadva a konfigurációban (korábban az utolsó említést alkalmazták).
- Ha az ssh-keygen segédprogramot „-A” jelzővel hívja meg (alapértelmezés szerint minden típusú gazdakulcsot generál), a DSA kulcsok generálása, amelyeket alapértelmezés szerint több éve nem használtak, le van tiltva.
- Az sftp-server és az sftp implementálja a "users-groups-by-id@openssh.com" kiterjesztést, amely lehetővé teszi a kliens számára, hogy egy megadott digitális azonosítókészletnek (uid és gid) megfelelő felhasználó- és csoportneveket kérjen le. Az sftp-ben ezt a kiterjesztést használják a nevek megjelenítésére a könyvtárak tartalmának listázásakor.
- Az sftp-server a ~/ és ~user/ elérési utak kibővítéséhez a „home-directory” kiterjesztést valósítja meg, amely alternatívája a korábban ugyanerre a célra javasolt „expand-path@openssh.com” kiterjesztésnek (a „home-directory” kiterjesztést szabványosítás céljából javasolták, és egyes kliensek már támogatják).
- Az ssh-keygen és az sshd lehetőséget ad arra, hogy az UTC időzónában időt adjon meg a tanúsítvány és a kulcs érvényességi időközének meghatározásakor, a rendszeridő mellett.
- Az sftp lehetővé teszi további argumentumok megadását a "-D" kapcsolóval (például "/usr/libexec/sftp-server -el debug3").
- Az ssh-keygen lehetővé teszi az "-U" jelző használatát (használja az ssh-agentet) az "-Y jel" műveletekkel együtt annak meghatározására, hogy a privát kulcsokat az ssh-agent tárolja.
Forrás: opennet.ru
