9.1 か月の開発を経て、SSH 2.0 および SFTP プロトコル上で動作するクライアントとサーバーのオープン実装である OpenSSH XNUMX のリリースが公開されました。 このリリースには、メモリの問題によって引き起こされるいくつかの潜在的な脆弱性の修正を含む、ほとんどのバグ修正が含まれていることが特徴です。
- ssh-keyscan ユーティリティの SSH バナー処理コードでのシングルバイト オーバーフロー。
- ssh-keygen ユーティリティでデジタル署名を作成および検証するためのコードでファイルのハッシュを計算中にエラーが発生した場合の、free() 関数への二重呼び出し。
- ssh-keysign ユーティリティでエラーを処理するときに free() を二重呼び出しします。
主な変更点:
- RequiredRSASize ディレクティブが ssh および sshd に追加されました。これにより、RSA キーの最小許容サイズを定義できるようになります。 sshd ではこれより小さいキーは無視されますが、ssh では接続が終了します。
- OpenSSH のポータブル版は、SSH キーを使用して Git のコミットとタグにデジタル署名するように変換されました。
- ssh_config および sshd_config 構成ファイル内の SetEnv ディレクティブは、環境変数が構成内で複数回定義されている場合、最初に出現した値を適用するようになりました (それまでは、最後に出現したものが使用されていました)。
- 「-A」フラグを指定して ssh-keygen ユーティリティを呼び出すと (デフォルトでサポートされているすべてのタイプのホスト キーを生成します)、デフォルトでは数年間使用されていなかった DSA キーの生成が無効になります。
- sftp-server と sftp は「users-groups-by-id@openssh.com」拡張機能を実装します。これにより、クライアントは指定されたデジタル識別子 (uid と gid) のセットに対応するユーザー名とグループ名を要求できます。 sftp では、この拡張機能はディレクトリの内容を一覧表示するときに名前を表示するために使用されます。
- sftp-server は、~/ および ~user/ パスを拡張するための「home-directory」拡張を実装します。これは、以前同じ目的で提案された「expand-path@openssh.com」拡張の代替です (「home-directory」拡張は標準化のために提案され、すでに一部のクライアントでサポートされています)。
- ssh-keygen と sshd に、システム時間に加えて、証明書とキーの有効性間隔を決定するときに UTC 時間を指定する機能が追加されました。
- sftp では、「-D」オプションで追加の引数を使用できます (たとえば、「/usr/libexec/sftp-server -el debug3」)。
- ssh-keygen では、「-Y 署名」操作とともに「-U」フラグ (ssh-agent を使用) を使用して、秘密鍵が ssh-agent に配置されることを決定できます。
出所: オープンネット.ru
