ProHoster > Блог > Новини інтернету > Реліз OpenSSH 9.1

Реліз OpenSSH 9.1

Після шести місяців розробки опубліковано реліз OpenSSH 9.1, відкритої реалізації клієнта та сервера для роботи за протоколами SSH 2.0 та SFTP. Випуск характеризується як у основному містить виправлення помилок, зокрема усунуто кількох потенційних уразливостей, викликаних проблемами під час роботи з пам'яттю:

  • Однобайтове переповнення в коді обробки SSH-банера в утиліті ssh-keyscan.
  • Подвійний виклик функції free() у разі помилки при обчисленні хешів для файлів у коді створення та перевірки цифрових підписів у утиліті ssh-keygen.
  • Подвійний виклик функції free() під час обробки помилок в утиліті ssh-keysign.

Основні зміни:

  • У ssh і sshd додано директиву RequiredRSASize, що дозволяє визначити мінімально допустимий розмір RSA-ключів. У sshd ключі меншого розміру ігноруватимуться, а в ssh призводити до завершення з'єднання.
  • Редакція OpenSSH, що переноситься, переведена на використання SSH-ключів для засвідчення цифровим підписом коммітів і тегів у Git.
  • Директиви SetEnv у файлах конфігурації ssh_config і sshd_config тепер застосовують значення з першої згадки змінної оточення, якщо вона визначена в конфігурації кілька разів (до цього застосовувалася остання згадка).
  • При виклику утиліти ssh-keygen з прапором «-A» (генерація всіх типів хостових ключів, що підтримуються за умовчанням) відключена генерація ключів DSA, які вже кілька років не використовуються за умовчанням.
  • У sftp-server та sftp реалізовано розширення «[захищено електронною поштою]», що дає клієнту можливість запросити імена користувачів та груп, які відповідають зазначеному набору цифрових ідентифікаторів (uid та gid). У sftp це розширення використано для відображення імен при виведенні вмісту каталогу.
  • У sftp-server реалізовано розширення «home-directory» для розкриття шляхів ~/ і ~user/, альтернативне розширенню, що раніше пропонувалося для тих же цілей «[захищено електронною поштою]» (Розширення «home-directory» запропоновано для стандартизації і вже підтримується деякими клієнтами).
  • У ssh-keygen і sshd додано можливість вказівки часу в часовому поясі UTC при визначенні інтервалів дії сертифікатів та ключів, на додаток до системного часу.
  • У sftp можна вказати додаткові аргументи в опції «-D» (наприклад, «/usr/libexec/sftp-server -el debug3»).
  • У ssh-keygen дозволено використання прапора -U (використання ssh-agent) разом з операціями -Y sign для визначення, що закриті ключі розміщені в ssh-agent.

    Джерело: opennet.ru

Додати коментар або відгук