9.1 か月の開発を経て、SSH 2.0 および SFTP プロトコル上で動作するクライアントとサーバーのオープン実装である OpenSSH XNUMX のリリースが公開されました。 このリリースには、メモリの問題によって引き起こされるいくつかの潜在的な脆弱性の修正を含む、ほとんどのバグ修正が含まれていることが特徴です。
- ssh-keyscan ユーティリティの SSH バナー処理コードでのシングルバイト オーバーフロー。
- ssh-keygen ユーティリティでデジタル署名を作成および検証するためのコードでファイルのハッシュを計算中にエラーが発生した場合の、free() 関数への二重呼び出し。
- ssh-keysign ユーティリティでエラーを処理するときに free() を二重呼び出しします。
主な変更点:
- RequiredRSASize ディレクティブが ssh および sshd に追加されました。これにより、RSA キーの最小許容サイズを定義できるようになります。 sshd ではこれより小さいキーは無視されますが、ssh では接続が終了します。
- OpenSSH のポータブル版は、SSH キーを使用して Git のコミットとタグにデジタル署名するように変換されました。
- ssh_config および sshd_config 構成ファイル内の SetEnv ディレクティブは、環境変数が構成内で複数回定義されている場合、最初に出現した値を適用するようになりました (それまでは、最後に出現したものが使用されていました)。
- 「-A」フラグを指定して ssh-keygen ユーティリティを呼び出すと (デフォルトでサポートされているすべてのタイプのホスト キーを生成します)、デフォルトでは数年間使用されていなかった DSA キーの生成が無効になります。
- sftp-server と sftp は「[メール保護]」を使用すると、クライアントは、指定された一連の数値識別子 (uid および gid) に対応するユーザーおよびグループの名前を要求できるようになります。 sftp では、この拡張子はディレクトリの内容を一覧表示するときに名前を表示するために使用されます。
- sftp-server は、" の代わりに、~/ および ~user/ パスを展開する "home-directory" 拡張機能を実装します。[メール保護]' ('home-directory' 拡張子は標準化のために提案されており、一部の顧客によってすでにサポートされています)。
- ssh-keygen と sshd に、システム時間に加えて、証明書とキーの有効性間隔を決定するときに UTC 時間を指定する機能が追加されました。
- sftp では、「-D」オプションで追加の引数を使用できます (たとえば、「/usr/libexec/sftp-server -el debug3」)。
- ssh-keygen では、「-Y 署名」操作とともに「-U」フラグ (ssh-agent を使用) を使用して、秘密鍵が ssh-agent に配置されることを決定できます。
出所: オープンネット.ru