Վեց ամիս տևած մշակումից հետո թողարկվել է OpenSSH 10.3-ը՝ հաճախորդի բաց կոդով իրականացումը։ սերվեր SSH 2.0 և SFTP արձանագրությունների հետ օգտագործելու համար։ Հիմնական փոփոխություններ՝
- Ուղղվել է մի խոցելիություն, որը կարող էր թույլ տալ հարձակվողին, որը վերահսկում էր ssh ծրագիրը գործարկելիս փոխանցված օգտանվան անունը, հնարավոր է՝ կատարի կամայական shell հրամաններ: Խոցելիությունը առաջանում է այն համակարգերում, որոնք օգտագործում են «%u» փոխարինումը որոշակի կոնֆիգուրացիայի ֆայլերի դիրեկտիվներում, օրինակ՝ «Match exec»: Խնդիրը առաջանում է օգտանվան մեջ հատուկ նիշերի վավերացման պատճառով, այն բանից հետո, երբ ssh_config կոնֆիգուրացիայի ֆայլում կատարվում են %-փոխարինումներ:
- Ուղղվել է sshd-ում անվտանգության խնդիր, որն առաջացել էր authorized_keys principals="" տարբերակի և վկայագրում անունների ցանկի (principals) սխալ համընկնման պատճառով, երբ անունները պարունակում են "," նիշը: Խոցելիության շահագործումը պահանջում է authorized_keys principals="" տարբերակում նշված մի քանի անուններ, և վկայականի տիրոջը (CA) տրամադրել վկայագիր՝ ստորակետերով բաժանված մի քանի անուններով (սա սովորաբար թույլատրելի չէ): Դատարկ անունով վկայագրերի վարքագիծը փոխվել է. նախկինում դատարկ անունը ծածկվում էր բոլոր authorized_keys principals="" տարբերակներով, բայց այժմ այն չի ծածկվում:
- Ուղղվել է scp-ում մի խնդիր, երբ ֆայլը root-ի կարգավիճակով վերբեռնելիս -O տարբերակով և առանց -p տարբերակի, setuid/setgid դրոշակները չէին մաքրվում։
- Sshd-ում շտկվել է PubkeyAcceptedAlgorithms և HostbasedAcceptedAlgorithms դիրեկտիվներում ECDSA բանալիների մշակման հետ կապված խնդիրը, որի պատճառով, եթե նշված լիներ որևէ ECDSA ալգորիթմ (օրինակ՝ "ecdsa-sha2-nistp384"), ECDSA-ի վրա հիմնված մյուս բոլոր ալգորիթմները նույնպես կընդունվեին, նույնիսկ եթե դրանք հստակորեն նշված չէին որպես ընդունելի։
- SSH գործակալների հետ փոխազդելիս, ssh-ը և sshd-ն այժմ աջակցում են draft-ietf-sshm-ssh-agent սպեցիֆիկացիայում IANA-ի կողմից սահմանված նույնականացուցիչներին (կոդային կետերին): Պահպանվում է նախկինում օգտագործված նույնականացուցիչների, օրինակ՝ «@openssh.com»-ի, աջակցությունը:
- ssh-agent-ը իրականացնում է draft-ietf-sshm-ssh-agent սպեցիֆիկացիայում սահմանված «query» ընդլայնումը, որը թույլ է տալիս որոշել գործակալի կողմից աջակցվող գործառույթները: «-Q» տարբերակը ավելացվել է ssh-add ծրագրին՝ աջակցվող արձանագրությունների ընդլայնումների ցանկը հարցնելու համար:
- sshd_config-ում RevokedKeys դիրեկտիվում կարող են նշվել մի քանի ֆայլեր, իսկ ssh_config-ում RevokedHostKeys դիրեկտիվում կարող են նշվել մի քանի ֆայլեր։
- SSH-ն այժմ ունի «~I» escape հրաման և «-O conninfo» տարբերակ՝ ընթացիկ կապի մասին տեղեկատվությունը ցուցադրելու համար, ինչպես նաև «-O channels» տարբերակ՝ բաց ալիքների մասին տեղեկատվությունը ցուցադրելու համար։
- Sshd-ում PerSourcePenalties դիրեկտիվն այժմ ներառում է «invaliduser» տարբերակը՝ գոյություն չունեցող օգտատիրոջով մուտք գործելու փորձի ժամանակ ուշացում (լռելյայն 5 վայրկյան) ավելացնելու համար: Ավելացվել է ոչ ամբողջ թվերի ուշացման արժեքներ նշելու հնարավորություն:
- GSSAPIDelegateCredentials տարբերակը ավելացվել է sshd-ին՝ հաճախորդի կողմից տրամադրված պատվիրակված լիազորագրերի ընդունումը վերահսկելու համար։
- ssh-keygen-ը այժմ աջակցում է ED25519 բանալիների գրառումը PKCS8 ձևաչափով։
- Ավելացվել է ed25519 թվային ստորագրության սխեմայի աջակցություն, որն իրականացվել է libcrypto-ի միջոցով։
Source: opennet.ru
