ปัญหาใหม่ ซึ่งเป็นเซิร์ฟเวอร์และไคลเอนต์ SSH ที่ได้รับอนุญาตจาก MIT ขนาดกะทัดรัด ซึ่งใช้เป็นหลักในระบบฝังตัว เช่น เราเตอร์ไร้สาย Dropbear โดดเด่นด้วยการใช้หน่วยความจำต่ำ (เมื่อเชื่อมโยงแบบคงที่กับ uClibc จะใช้พื้นที่เพียง 110kB) ความสามารถในการปิดใช้งานฟังก์ชันการทำงานที่ไม่จำเป็นในขั้นตอนการสร้าง และการสนับสนุนสำหรับการสร้างไคลเอนต์และเซิร์ฟเวอร์ในไฟล์ปฏิบัติการเดียว คล้ายกับ busybox Dropbear รองรับการส่งต่อ X11 เข้ากันได้กับไฟล์คีย์ OpenSSH (~/.ssh/authorized_keys) และสามารถสร้างการเชื่อมต่อหลายแบบด้วยการส่งต่อผ่านโฮสต์การขนส่ง
В :
- เพิ่มการรองรับอัลกอริธึมลายเซ็นดิจิทัล Ed25519 ในโฮสต์คีย์และauthorized_keys
- เพิ่มการรองรับโปรโตคอลการตรวจสอบความถูกต้องตามรหัสสตรีม ChaCha20 และอัลกอริธึมการตรวจสอบข้อความ Poly1305 ที่พัฒนาโดย Daniel Bernstein
- เพิ่มการรองรับสำหรับรูปแบบลายเซ็นดิจิทัล rsa-sha2 ซึ่งจะมีการบังคับสำหรับ OpenSSH ในไม่ช้า (คีย์ RSA ที่มีอยู่จะสามารถทำงานกับรูปแบบใหม่ได้โดยไม่ต้องเปลี่ยนโฮสต์คีย์/authorized_keys) เนื่องจากการสิ้นสุดการสนับสนุน sha-1
- การใช้งาน curve25519 ถูกแทนที่ด้วยเวอร์ชันที่มีขนาดกะทัดรัดมากขึ้นจากโครงการ TweetNaCl
- เพิ่มการรองรับ AES GCM (ปิดใช้งานโดยค่าเริ่มต้น)
- ปิดใช้งานตามค่าเริ่มต้นคือรหัส CBC, 3DES, hmac-sha1-96 และการส่งต่อ x11
- แก้ไขปัญหาความเข้ากันได้กับ IRIX OS
- เพิ่ม API เพื่อระบุกุญแจสาธารณะโดยตรงแทนที่จะใช้authored_keys
- ช่องโหว่ได้รับการแก้ไขใน SCP ซึ่งอนุญาตให้เปลี่ยนสิทธิ์การเข้าถึงไดเร็กทอรีเป้าหมายเมื่อเซิร์ฟเวอร์ส่งคืนไดเร็กทอรีที่มีชื่อหรือจุดว่าง เมื่อได้รับคำสั่ง "D0777 0 \n" หรือ "D0777 0 .\n" จากเซิร์ฟเวอร์ ไคลเอ็นต์จะใช้การเปลี่ยนแปลงในสิทธิ์การเข้าถึงไดเรกทอรีปัจจุบัน
ที่มา: opennet.ru