No dräi Méint Entwécklung
Déi nei Verëffentlechung füügt Schutz géint scp Attacken, déi de Server erlaben aner Dateinumm ze passéieren wéi déi gefrot (am Géigesaz zu
Dës Fonktioun, wann Dir mat engem Server kontrolléiert vun engem Ugräifer verbënnt, kann benotzt ginn fir aner Dateinumm an aneren Inhalt am FS vum Benotzer ze späicheren wann Dir mat scp kopéiert an Konfiguratiounen, déi zu engem Feeler féieren wann Dir Utimes urufft (zum Beispill wann Utimes verbueden ass duerch d'SELinux Politik oder System Call Filter). D'Wahrscheinlechkeet vun echte Attacke gëtt als minimal geschätzt, well an typesche Konfiguratiounen den Utimes Uruff net feelt. Zousätzlech geet d'Attack net onnotéiert - wann Dir scp rufft, gëtt en Datenübertragungsfehler gewisen.
Allgemeng Ännerungen:
- Am sftp ass d'Veraarbechtung vum "-1" Argument gestoppt ginn, ähnlech wéi ssh an scp, wat virdru akzeptéiert gouf awer ignoréiert;
- An sshd, wann Dir IgnoreRhosts benotzt, ginn et elo dräi Choixen: "jo" - ignoréieren rhosts / shosts, "nee" - respektéieren rhosts / shosts, an "shosts-nëmmen" - erlaben ". shosts" awer net erlaben ". rhosts";
- Ssh ënnerstëtzt elo %TOKEN Ersatz an de LocalFoward a RemoteForward Astellunge benotzt fir Unix Sockets ze redirectéieren;
- Erlaabt ëffentlech Schlësselen aus enger onverschlësselter Datei mat engem private Schlëssel ze lueden wann et keng separat Datei mat dem ëffentleche Schlëssel gëtt;
- Wann libcrypto am System präsent ass, benotzt ssh an sshd elo d'Implementatioun vum chacha20 Algorithmus aus dëser Bibliothéik, amplaz vun der agebauter portable Implementatioun, déi hannert der Leeschtung hannerlooss;
- Implementéiert d'Fähigkeit fir den Inhalt vun enger binärer Lëscht vun zréckgezunnen Certificaten ze dumpen wann Dir de Kommando "ssh-keygen -lQf /path" ausféiert;
- Déi portable Versioun implementéiert Definitioune vu Systemer, an deenen d'Signaler mat der SA_RESTART Optioun d'Operatioun vun auswielen ënnerbriechen;
- Geléist Problemer mat Assemblée op HP / UX an AIX Systemer;
- Fixéiert Probleemer mam Bau vun Seccomp Sandbox op e puer Linux Konfiguratiounen;
- Verbessert libfido2 Bibliothéik Detektioun a geléist Bauprobleemer mat der "--mat-Security-key-builtin" Optioun.
D'OpenSSH Entwéckler hunn och nach eng Kéier gewarnt iwwer d'impendend Zersetzung vun Algorithmen mat SHA-1 Hashes wéinst
Fir den Iwwergank op nei Algorithmen an OpenSSH ze glatteren, an enger zukünfteg Verëffentlechung gëtt d'UpdateHostKeys-Astellung par défaut aktivéiert, déi automatesch Clienten op méi zouverlässeg Algorithmen migréieren. Recommandéiert Algorithmen fir Migratioun enthalen rsa-sha2-256/512 baséiert op RFC8332 RSA SHA-2 (ënnerstëtzt zënter OpenSSH 7.2 a benotzt par défaut), ssh-ed25519 (ënnerstëtzt zënter OpenSSH 6.5) an ecdsa-sha2-nistp256/384 baséiert op RFC521 ECDSA (ënnerstëtzt zënter OpenSSH 5656).
Zënter der leschter Verëffentlechung sinn "ssh-rsa" an "diffie-hellman-group14-sha1" aus der CASignatureAlgorithms Lëscht geläscht ginn, déi d'Algorithmen definéiert déi erlaabt sinn nei Certificaten digital z'ënnerschreiwen, well d'Benotzung vun SHA-1 an Certificaten en zousätzleche Risiko duerstellt. Wéinst deem huet den Ugräifer onlimitéiert Zäit fir no enger Kollisioun fir en existent Zertifika ze sichen, während d'Zäit vum Attack op Hostschlësselen duerch d'Verbindungszäit limitéiert ass (LoginGraceTime).
Source: opennet.ru