Po šešių mėnesių kūrimo išleista „OpenSSH 10.3“ – atvirojo kodo kliento versija. serveris Skirta naudoti su SSH 2.0 ir SFTP protokolais. Svarbiausi pakeitimai:
- Ištaisyta pažeidžiamumas, dėl kurio užpuolikas, kontroliuojantis vartotojo vardą, perduodamą paleidžiant „ssh“ programą, galėjo vykdyti savavališkas apvalkalo komandas. Pažeidžiamumas atsiranda sistemose, kurios tam tikrose konfigūracijos failų direktyvose, pvz., „Match exec“, naudoja „%u“ pakeitimą. Problemą sukelia specialiųjų simbolių vartotojo varde patvirtinimas po to, kai „ssh_config“ konfigūracijos faile atliekami % pakeitimai.
- Ištaisyta sshd saugumo problema, atsiradusi dėl neteisingo authorized_keys principals="" parinkties atitikimo sertifikato vardų (principals) sąrašui, kai pavadinimuose yra simbolis ",". Norint išnaudoti pažeidžiamumą, reikia, kad authorized_keys principals="" parinktyje būtų nurodyti keli vardai, o CA išduotų sertifikatą su keliais vardais, atskirtais kableliais (paprastai tai neleidžiama). Pakeista sertifikatų su tuščiu pavadinimu elgsena: anksčiau tuščią pavadinimą apėmė visos authorized_keys principals="" parinktys, bet dabar jis nebeapimamas.
- Ištaisyta scp problema, kai įkeliant failą kaip root vartotojas su -O parinktimi ir be -p parinkties, setuid/setgid žymės nebuvo išvalytos.
- „sshd“ sistemoje ištaisyta problema, susijusi su ECDSA raktų apdorojimu „PubkeyAcceptedAlgorithms“ ir „HostbasedAcceptedAlgorithms“ direktyvose. Dėl šios priežasties, nurodžius bet kokį ECDSA algoritmą (pvz., „ecdsa-sha2-nistp384“), visi kiti ECDSA pagrįsti algoritmai taip pat buvo priimami, net jei jie nebuvo aiškiai išvardyti kaip priimtini.
- Sąveikaujant su SSH agentais, ssh ir sshd dabar palaiko IANA apibrėžtus identifikatorius (kodo taškus), pateiktus „draft-ietf-sshm-ssh-agent“ specifikacijoje. Išsaugotas anksčiau naudotų identifikatorių, tokių kaip „@openssh.com“, palaikymas.
- „ssh-agent“ įdiegia plėtinį „query“, apibrėžtą „draft-ietf-sshm-ssh-agent“ specifikacijoje, kuris leidžia nustatyti agento palaikomas funkcijas. Į „ssh-add“ įrankį buvo pridėta parinktis „-Q“, skirta užklausti palaikomų protokolo plėtinių sąrašą.
- „sshd_config“ faile „RevokedKeys“ direktyvoje galima nurodyti kelis failus, o „ssh_config“ faile – „RevokedHostKeys“ direktyvoje.
- SSH dabar turi Escape komandą „~I“ ir parinktį „-O conninfo“, skirtą rodyti informaciją apie dabartinį ryšį, taip pat parinktį „-O channels“, skirtą rodyti informaciją apie atvirus kanalus.
- „sshd“ direktyvoje „PerSourcePenalties“ dabar yra parinktis „invaliduser“, skirta pridėti uždelsimą (numatytasis nustatymas yra 5 sekundės), kai bandoma prisijungti su neegzistuojančiu vartotoju. Pridėta galimybė nurodyti ne sveikuosius skaičius uždelsimo reikšmes.
- Į „sshd“ pridėta parinktis „GSSAPIDelegateCredentials“, skirta valdyti kliento pateiktų deleguotų kredencialų priėmimą.
- „ssh-keygen“ dabar palaiko ED25519 raktų rašymą PKCS8 formatu.
- Pridėta „ed25519“ skaitmeninio parašo schemos, įdiegtos naudojant „libcrypto“, palaikymas.
Šaltinis: opennet.ru
