ProHoster > Blog > wiadomości internetowe > Wersja OpenSSH 9.1

Wersja OpenSSH 9.1

Po sześciu miesiącach prac opublikowano wersję OpenSSH 9.1, otwartą implementację klienta i serwera do pracy poprzez protokoły SSH 2.0 i SFTP. Wydanie charakteryzuje się tym, że zawiera głównie poprawki błędów, w tym poprawki kilku potencjalnych luk w zabezpieczeniach spowodowanych problemami z pamięcią:

  • Przepełnienie jednobajtowe w kodzie przetwarzania banera SSH w narzędziu ssh-keyscan.
  • Podwójne wywołanie funkcji free() w przypadku błędu przy obliczaniu skrótów plików w kodzie służącym do tworzenia i weryfikacji podpisów cyfrowych w narzędziu ssh-keygen.
  • Podwójne wywołanie funkcji free() podczas obsługi błędów w narzędziu ssh-keysign.

Główne zmiany:

  • Do ssh i sshd dodano dyrektywę RequiredRSASize, która umożliwia zdefiniowanie minimalnego dopuszczalnego rozmiaru kluczy RSA. W sshd klucze mniejsze niż ten zostaną zignorowane, natomiast w ssh spowodują zakończenie połączenia.
  • Przenośna edycja OpenSSH została przekonwertowana tak, aby używać kluczy SSH do cyfrowego podpisywania zatwierdzeń i tagów w Git.
  • Dyrektywy SetEnv w plikach konfiguracyjnych ssh_config i sshd_config stosują teraz wartość z pierwszego wystąpienia zmiennej środowiskowej, jeśli była ona zdefiniowana wielokrotnie w konfiguracji (wcześniej używane było ostatnie wystąpienie).
  • Podczas wywoływania narzędzia ssh-keygen z flagą „-A” (generującego domyślnie wszystkie obsługiwane typy kluczy hosta) generowanie kluczy DSA, które nie były domyślnie używane od kilku lat, jest wyłączone.
  • serwer sftp i sftp implementują „[email chroniony]”, umożliwiając klientowi żądanie nazw użytkowników i grup odpowiadających określonemu zestawowi identyfikatorów numerycznych (uid i gid). W sftp to rozszerzenie służy do wyświetlania nazw podczas wyświetlania zawartości katalogu.
  • sftp-server implementuje rozszerzenie „katalog domowy”, aby rozwinąć ścieżki ~/ i ~user/, jako alternatywę dla „[email chroniony]' (rozszerzenie „katalogu domowego” jest proponowane w celu standaryzacji i jest już obsługiwane przez niektórych klientów).
  • Dodano możliwość dla ssh-keygen i sshd określania czasu UTC podczas określania okresów ważności certyfikatu i klucza, oprócz czasu systemowego.
  • W sftp dodatkowe argumenty są dozwolone w opcji „-D” (na przykład „/usr/libexec/sftp-server -el debug3”).
  • ssh-keygen umożliwia użycie flagi „-U” (przy użyciu ssh-agent) wraz z operacjami „znak -Y” w celu ustalenia, czy klucze prywatne są umieszczone w ssh-agent.

    Źródło: opennet.ru

Dodaj komentarz