โปรโฮสต์ > บล็อก > ข่าวทางอินเทอร์เน็ต > การเปิดตัว OpenSSH 9.1

การเปิดตัว OpenSSH 9.1

หลังจากหกเดือนของการพัฒนา OpenSSH 9.1 ก็ได้รับการเผยแพร่ ซึ่งเป็นการใช้งานแบบเปิดของไคลเอนต์และเซิร์ฟเวอร์สำหรับการทำงานบนโปรโตคอล SSH 2.0 และ SFTP เวอร์ชันนี้มีลักษณะเฉพาะที่มีการแก้ไขข้อบกพร่องเป็นส่วนใหญ่ รวมถึงช่องโหว่ที่อาจเกิดขึ้นหลายประการที่เกิดจากปัญหาหน่วยความจำ:

  • โอเวอร์โฟลว์แบบไบต์เดียวในโค้ดประมวลผลแบนเนอร์ SSH ในยูทิลิตี ssh-keyscan
  • การเรียกฟังก์ชัน free() สองครั้งในกรณีที่เกิดข้อผิดพลาดเมื่อคำนวณแฮชสำหรับไฟล์ในโค้ดสำหรับการสร้างและตรวจสอบลายเซ็นดิจิทัลในยูทิลิตี้ ssh-keygen
  • การเรียกฟังก์ชัน free() สองครั้งเมื่อจัดการกับข้อผิดพลาดในยูทิลิตี้ ssh-keysign

การเปลี่ยนแปลงที่สำคัญ:

  • เพิ่มคำสั่ง RequiredRSASize ใน ssh และ sshd แล้ว ซึ่งช่วยให้คุณสามารถกำหนดขนาดคีย์ RSA ขั้นต่ำที่อนุญาตได้ ใน sshd คีย์ที่มีขนาดเล็กกว่าจะถูกละเว้น และใน ssh จะส่งผลให้การเชื่อมต่อถูกยกเลิก
  • OpenSSH รุ่นพกพาได้รับการแปลงให้ใช้คีย์ SSH เพื่อลงนามคอมมิตและแท็กแบบดิจิทัลใน Git
  • คำสั่ง SetEnv ในไฟล์การกำหนดค่า ssh_config และ sshd_config จะใช้ค่าจากการกล่าวถึงครั้งแรกของตัวแปรสภาพแวดล้อม หากมีการกำหนดมากกว่าหนึ่งครั้งในการกำหนดค่า (ก่อนหน้านี้มีการใช้การกล่าวถึงครั้งล่าสุด)
  • เมื่อเรียกยูทิลิตี้ ssh-keygen ด้วยแฟล็ก "-A" (สร้างคีย์โฮสต์ทุกประเภทที่รองรับตามค่าเริ่มต้น) การสร้างคีย์ DSA ซึ่งไม่ได้ใช้ตามค่าเริ่มต้นมาหลายปีจะถูกปิดใช้งาน
  • sftp-server และ sftp ใช้ส่วนขยาย “[ป้องกันอีเมล]" ทำให้ไคลเอนต์สามารถขอชื่อผู้ใช้และกลุ่มที่สอดคล้องกับชุดตัวระบุดิจิทัลที่ระบุ (uid และ gid) ใน sftp ส่วนขยายนี้ใช้เพื่อแสดงชื่อเมื่อแสดงเนื้อหาของไดเร็กทอรี
  • sftp-server ใช้ส่วนขยาย “home-directory” เพื่อขยาย ~/ และ ~user/ path ซึ่งเป็นทางเลือกแทนส่วนขยายที่เสนอก่อนหน้านี้ “[ป้องกันอีเมล]"(ส่วนขยาย "โฮมไดเร็กทอรี" ได้รับการเสนอให้เป็นมาตรฐานและได้รับการสนับสนุนโดยไคลเอนต์บางรายแล้ว)
  • ssh-keygen และ sshd เพิ่มความสามารถในการระบุเวลาในเขตเวลา UTC เมื่อพิจารณาใบรับรองและช่วงเวลาความถูกต้องของคีย์ นอกเหนือจากเวลาของระบบ
  • sftp อนุญาตให้ระบุอาร์กิวเมนต์เพิ่มเติมด้วยตัวเลือก "-D" (เช่น "/usr/libexec/sftp-server -el debug3")
  • ssh-keygen อนุญาตให้ใช้แฟล็ก "-U" (ใช้ ssh-agent) พร้อมกับการดำเนินการ "-Y sign" เพื่อตรวจสอบว่าคีย์ส่วนตัวโฮสต์โดย ssh-agent

    ที่มา: opennet.ru

เพิ่มความคิดเห็น