Post quinque menses evolutionis emissio OpenSSH 8.5, exsecutio clientis et servientis aperta operandi per SSH 2.0 et SFTP protocolla, praesentatur.
Tincimenta OpenSSH nos admoverunt ventura decommissione algorithmorum utendi SHA-1 hashes propter augendam concursus efficaciam collidendi cum praepositione data (sumtus collisionis eligendi circa $50 milia aestimatur). In una emissione venturi, disponunt ut disable per defaltam facultatem utendi "ssh-rsa" publici clavem digitalis subscriptionis algorithmus, quod in RFC originali memoratur pro protocollo SSH et in usu late manet.
Ad probandum usum ssh-rsa in systematis tuis, experiri potes cum optione "-oHostKeyAlgorithms=-ssh-rsa" connectere. Eodem tempore, inactivare signaturas digitales "ssh-rsa" per defaltam non significat integram abdicationem usui RSA clavium, cum praeter SHA-1, protocollum SSH usum algorithmorum Nullam calculi aliorum permittit. Praesertim, praeter "ssh-rsa", manebit uti "rsa-sha2-256" (RSA/SHA256) et "rsa-sha2-512" (RSA/SHA512) fasciculos.
Ad transitum ad novos algorithmos leniendos, OpenSSH 8.5 UpdateHostKeys occasum per defaltam facultatem habet, quod clientes statim ad algorithms certius flectendum permittit. Hoc occasu utens, peculiaris protocolli extensio est capacitas "[Inscriptio protected]", permittens servo, post authenticas, certiorem clientem de omnibus clavibus militiae praesto. Cliens has claves in suo fasciculo ~/.ssh/notus_hostium reflectere potest, qui claves exercitus renovandas esse permittit et facilius claves in calculonis mutare facit.
Usus UpdateHostKeys circumscribitur pluribus cautionibus quae in futurum removeri possunt: ββclavis referenda est in UserKnownHostsFile et non in GlobalKnownHostsFile adhibita; clavis sub una tantum nomine adesse debet; hospes clavem certificatorium adhiberi non debet; in notis larvis hospitibus non utendum; the VerifyHostKeyDNS occasus debilis esto; In UserKnownHostsFile parametri activae esse debent.
Commendatur algorithmus ad migrationem RSA-sha2-256/512 innixus RFC8332 RSA SHA-2 (sustentus ab OpenSSH 7.2 et usus ex defectu), ssh-ed25519 (subnixus ab OpenSSH 6.5) et ecdsa-sha2-nistp256/384/521 innititur. in RFC5656 ECDSA (ex quo OpenSSH 5.7).
Aliae mutationes:
- Securitatis mutationes:
- vulnerabilitas causata ex area memoriae iam liberatae re- liberationis (duplici-free) in ssh-agente fixa est. Quaestio praesens fuit ex emissione OpenSSH 8.2 et potentia uti potest si oppugnator accessum ad nervum ssh agentis in systemate locali habet. Quod difficilius quaestum facit, est solum radix et usor originalis ad nervum accessum. Verisimile est impetum missionis agentis ad rationem refrenandam ab oppugnatore, vel ad exercitum ubi radix accessus oppugnator habet.
- sshd tutelam addidit contra parametros maximos cum nomine usoris ad PAM subsystem transeundo, quod permittit ut vulnerabilitates in PAM (pluggable authenticitate modulorum) systematis modulorum intercludat. Exempli gratia, mutatio sshd impedit quominus uti vector ad usum vulnerabilitatem radicem Solaris nuper detectam (CVE-2020-14871).
- Potentia solveret convenientiae mutationes;
- Π ssh ΠΈ sshd ΠΏΠ΅ΡΠ΅ΡΠ°Π±ΠΎΡΠ°Π½ ΡΠΊΡΠΏΠ΅ΡΠΈΠΌΠ΅Π½ΡΠ°Π»ΡΠ½ΡΠΉ ΠΌΠ΅ΡΠΎΠ΄ ΠΎΠ±ΠΌΠ΅Π½Π° ΠΊΠ»ΡΡΠ°ΠΌΠΈ, ΡΡΠΎΠΉΠΊΠΈΠΉ ΠΊ ΠΏΠΎΠ΄Π±ΠΎΡΡ Π½Π° ΠΊΠ²Π°Π½ΡΠΎΠ²ΠΎΠΌ ΠΊΠΎΠΌΠΏΡΡΡΠ΅ΡΠ΅. ΠΠ²Π°Π½ΡΠΎΠ²ΡΠ΅ ΠΊΠΎΠΌΠΏΡΡΡΠ΅ΡΡ ΠΊΠ°ΡΠ΄ΠΈΠ½Π°Π»ΡΠ½ΠΎ Π±ΡΡΡΡΠ΅Π΅ ΡΠ΅ΡΠ°ΡΡ Π·Π°Π΄Π°ΡΡ ΡΠ°Π·Π»ΠΎΠΆΠ΅Π½ΠΈΡ Π½Π°ΡΡΡΠ°Π»ΡΠ½ΠΎΠ³ΠΎ ΡΠΈΡΠ»Π° Π½Π° ΠΏΡΠΎΡΡΡΠ΅ ΠΌΠ½ΠΎΠΆΠΈΡΠ΅Π»ΠΈ, ΠΊΠΎΡΠΎΡΠ°Ρ Π»Π΅ΠΆΠΈΡ Π² ΠΎΡΠ½ΠΎΠ²Π΅ ΡΠΎΠ²ΡΠ΅ΠΌΠ΅Π½Π½ΡΡ Π°ΡΠΈΠΌΠΌΠ΅ΡΡΠΈΡΠ½ΡΡ Π°Π»Π³ΠΎΡΠΈΡΠΌΠΎΠ² ΡΠΈΡΡΠΎΠ²Π°Π½ΠΈΡ ΠΈ ΡΡΡΠ΅ΠΊΡΠΈΠ²Π½ΠΎ Π½Π΅ ΡΠ΅ΡΠ°Π΅ΠΌΠ° Π½Π° ΠΊΠ»Π°ΡΡΠΈΡΠ΅ΡΠΊΠΈΡ ΠΏΡΠΎΡΠ΅ΡΡΠΎΡΠ°Ρ . ΠΡΠΏΠΎΠ»ΡΠ·ΡΠ΅ΠΌΡΠΉ ΠΌΠ΅ΡΠΎΠ΄ ΠΎΡΠ½ΠΎΠ²Π°Π½ Π½Π° Π°Π»Π³ΠΎΡΠΈΡΠΌΠ΅ NTRU Prime, ΡΠ°Π·ΡΠ°Π±ΠΎΡΠ°Π½Π½ΠΎΠΌ Π΄Π»Ρ ΠΏΠΎΡΡΠΊΠ²Π°Π½ΡΡΠΌΠ½ΡΡ ΠΊΡΠΈΠΏΡΠΎΡΠΈΡΡΠ΅ΠΌ, ΠΈ ΠΌΠ΅ΡΠΎΠ΄Π΅ ΠΎΠ±ΠΌΠ΅Π½Π° ΠΊΠ»ΡΡΠ°ΠΌΠΈ Π½Π° Π±Π°Π·Π΅ ΡΠ»Π»ΠΈΠΏΡΠΈΡΠ΅ΡΠΊΠΈΡ ΠΊΡΠΈΠ²ΡΡ X25519. ΠΠΌΠ΅ΡΡΠΎ [Inscriptio protected] ΠΌΠ΅ΡΠΎΠ΄ ΡΠ΅ΠΏΠ΅ΡΡ ΠΈΠ΄Π΅Π½ΡΠΈΡΠΈΡΠΈΡΡΠ΅ΡΡΡ ΠΊΠ°ΠΊ [Inscriptio protected] (sntrup4591761 algorithm substituitur ab sntrup761).
- In ssh et sshd, ordo in quo sustentatur algorithms digitalis signatura nuntiatur mutatus est. ED25519 nunc primum loco ECDSA editum est.
- In ssh et sshd, ponens TOS/DSCP qualitas servitii parametri pro sessionibus interacivis nunc fit ante nexum TCP constituendum.
- Cipher subsidium discontinuatum est in ssh et sshd [Inscriptio protected], quae eadem cum aes256-cbc et ante RFC-4253 approbata erat, adhibita est.
- Defalta, parameter CheckHostIP debilitatus est, cuius utilitas neglegenda est, sed usus eius signanter involvit rotationem clavem exercituum post librariorum onus.
- PerSourceMaxStartups et PerSourceNetBlockSize occasus additae sunt ut sshd ad intensionem tractatores deducendi secundum electronicam clientem nitantur. Hi parametri permittunt te subtilius moderari modum in processu immissis, ad ducem MaxStartups proficiscentem.
- Novum occasum LogVerbose ssh et sshd additum est, quod te permittit ut gradum informationis debugging in stipes rasurae fortiter erigas, cum facultate colendi per templates, functiones et limas.
- In ssh, cum novam clavem hospitii suscipiat, omnes hostnames et inscriptiones IP consociata cum clave monstrantur.
- ssh permittit UserKnownHostsFile=nulla optio ut inactivandi usum notae_hostium lima cum claves exercitus identificandi.
- Praecipuum mandatum ad ssh_config pro ssh adiectum est, permittens te ut notitias exercitus cognoscas ex praefinito mandato.
- PermitRemoteOpen optionem ad ssh_config addidit ut ssh sinere te destinationem restringere cum remotoForward optione utens cum SOCKS.
- In ssh pro FIDO clavium, petitio repetita PIN providetur in eventu operationis signaturae digitalis defectus propter PIN falsam et utens non impellente pro PIN (exempli gratia, cum data recta biometrica obtineri non potest atque in fabrica cessit ad ingressum PIN manual).
- sshd subsidia additi systematis vocat ad seccomp-bpf-substructio processus solitarii mechanismi in Linux.
- Contrib/ssh-exemplum id utilitatem renovatum est.
Source: opennet.ru