Eftir þriggja mánaða þróun
Nýja útgáfan bætir við vörn gegn scp árásum sem gera þjóninum kleift að senda önnur skráarnöfn en þau sem óskað er eftir (öfugt við
Þessi eiginleiki, þegar tengst er við netþjón sem stjórnað er af árásarmanni, er hægt að nota til að vista önnur skráarnöfn og annað efni í FS notanda þegar afritað er með scp í stillingum sem leiða til bilunar þegar hringt er í utimes (til dæmis þegar utimes er bannað skv. SELinux stefnuna eða kerfiskallasíuna). Líkurnar á raunverulegum árásum eru taldar vera í lágmarki, þar sem í dæmigerðum stillingum mistekst utimes-kallið ekki. Að auki fer árásin ekki fram hjá neinum - þegar hringt er í scp birtist gagnaflutningsvilla.
Almennar breytingar:
- Í sftp hefur vinnsla á „-1“ röksemdinni verið stöðvuð, svipað og ssh og scp, sem áður var samþykkt en hunsuð;
- Í sshd, þegar IgnoreRhosts eru notaðir, eru nú þrír valkostir: "já" - hunsa rhosts/shosts, "nei" - virða rhosts/shosts, og "shosts-only" - leyfa ".shosts" en banna ".rhosts";
- Ssh styður nú %TOKEN skipti í LocalFoward og RemoteForward stillingunum sem notaðar eru til að beina Unix innstungum;
- Leyfa hleðslu opinberra lykla úr ódulkóðaðri skrá með einkalykli ef engin sérstök skrá er með opinbera lyklinum;
- Ef libcrypto er fáanlegt í kerfinu, þá nota ssh og sshd nú útfærslu chacha20 reikniritsins úr þessu safni, í stað innbyggðu flytjanlegu útfærslunnar, sem er á eftir í frammistöðu;
- Útfærði hæfileikann til að henda innihaldi tvíundarlista yfir afturkölluð skilríki þegar skipunin „ssh-keygen -lQf /path“ var framkvæmd;
- Færanlega útgáfan útfærir skilgreiningar á kerfum þar sem merki með SA_RESTART valkostinum trufla virkni select;
- Byggingarvandamál á HP/UX og AIX kerfum hafa verið leyst;
- Lagaði vandamál með að byggja seccomp sandkassa á sumum Linux stillingum;
- Bætt libfido2 bókasafnsuppgötvun og leyst byggingarvandamál með "--með-öryggislykli-innbyggðum" valkostinum.
OpenSSH forritararnir vöruðu einnig enn og aftur við yfirvofandi niðurbroti reiknirita sem nota SHA-1 kjötkássa vegna
Til að jafna umskiptin yfir í ný reiknirit í OpenSSH, í framtíðarútgáfu verður UpdateHostKeys stillingin sjálfkrafa virkjuð, sem mun sjálfkrafa flytja viðskiptavini yfir í áreiðanlegri reiknirit. Ráðlögð reiknirit fyrir flutning eru rsa-sha2-256/512 byggt á RFC8332 RSA SHA-2 (studd síðan OpenSSH 7.2 og notað sjálfgefið), ssh-ed25519 (studd síðan OpenSSH 6.5) og ecdsa-sha2-nistp256/384 byggt á RFC521 ECDSA (studd síðan OpenSSH 5656).
Frá og með síðustu útgáfu hafa „ssh-rsa“ og „diffie-hellman-group14-sha1“ verið fjarlægð af CASignatureAlgorithms listanum sem skilgreinir reiknirit sem leyfilegt er að undirrita ný vottorð stafrænt, þar sem notkun SHA-1 í skírteinum hefur í för með sér viðbótaráhættu vegna þess að árásarmaðurinn hefur ótakmarkaðan tíma til að leita að árekstri fyrir núverandi skírteini, en tími árásar á hýsillykla takmarkast af tengingartíma (LoginGraceTime).
Heimild: opennet.ru