ProHoster > blog > internetnieuws > Release van OpenSSH 9.1

Release van OpenSSH 9.1

Na zes maanden ontwikkeling is de release van OpenSSH 9.1 gepubliceerd, een open implementatie van een client en server voor het werken via de SSH 2.0- en SFTP-protocollen. Er wordt gekarakteriseerd dat de release voornamelijk bugfixes bevat, waaronder verschillende potentiële kwetsbaarheden veroorzaakt door geheugenproblemen:

  • Overloop van één byte in de SSH-bannerverwerkingscode in het hulpprogramma ssh-keyscan.
  • Dubbele aanroep van de functie free() in het geval van een fout bij het berekenen van hashes voor bestanden in de code voor het maken en verifiëren van digitale handtekeningen in het hulpprogramma ssh-keygen.
  • Dubbele aanroep van de functie free() bij het afhandelen van fouten in het hulpprogramma ssh-keysign.

Grote veranderingen:

  • De richtlijn RequiredRSASize is toegevoegd aan ssh en sshd, waardoor u de minimaal toegestane grootte van RSA-sleutels kunt bepalen. In sshd worden kleinere sleutels genegeerd, en in ssh zullen ze ertoe leiden dat de verbinding wordt verbroken.
  • De draagbare editie van OpenSSH is geconverteerd om SSH-sleutels te gebruiken voor het digitaal ondertekenen van commits en tags in Git.
  • De SetEnv-richtlijnen in de configuratiebestanden ssh_config en sshd_config passen nu de waarde toe vanaf de eerste vermelding van de omgevingsvariabele als deze meer dan één keer in de configuratie is gedefinieerd (voorheen werd de laatste vermelding toegepast).
  • Wanneer u het hulpprogramma ssh-keygen aanroept met de vlag “-A” (waarbij alle typen hostsleutels worden gegenereerd die standaard worden ondersteund), wordt het genereren van DSA-sleutels, die al enkele jaren niet standaard worden gebruikt, uitgeschakeld.
  • sftp-server en sftp implementeren de extensie "[e-mail beveiligd]", waardoor de klant de mogelijkheid krijgt om gebruikers- en groepsnamen op te vragen die overeenkomen met een gespecificeerde set digitale identificatiegegevens (uid en gid). In sftp wordt deze extensie gebruikt om namen weer te geven bij het weergeven van de inhoud van een directory.
  • sftp-server implementeert de “home-directory” extensie om ~/ en ~user/ paden uit te breiden, een alternatief voor de eerder voorgestelde extensie “[e-mail beveiligd]"(de extensie "home-directory" wordt voorgesteld voor standaardisatie en wordt al door sommige clients ondersteund).
  • ssh-keygen en sshd voegen de mogelijkheid toe om tijd in de UTC-tijdzone op te geven bij het bepalen van de geldigheidsintervallen van certificaten en sleutels, naast de systeemtijd.
  • Met sftp kunnen aanvullende argumenten worden opgegeven met de optie "-D" (bijvoorbeeld "/usr/libexec/sftp-server -el debug3").
  • ssh-keygen maakt het gebruik van de vlag "-U" mogelijk (gebruik ssh-agent) samen met "-Y sign"-bewerkingen om te bepalen dat privésleutels worden gehost door ssh-agent.

    Bron: opennet.ru

Voeg een reactie