מעלדונג פון OpenSSH 10.3

נאך זעקס חדשים פון אנטוויקלונג, איז OpenSSH 10.3, אן אפן-קוואל אימפלעמענטאציע פונעם קליענט, ארויסגעגעבן געווארן. סערווירער פֿאַר נוצן מיט SSH 2.0 און SFTP פּראָטאָקאָלן. הויפּט ענדערונגען:

• א שוואכקייט איז פארראכטן געווארן וואס קען ערלויבן אן אטאקירער מיט קאנטראל איבערן באניצער נאמען וואס ווערט געגעבן ביים עפענען דעם ssh יוטיליטי צו מעגליך אויספירן ארביטרארע שאָל קאמאנדעס. די שוואכקייט פאסירט אויף סיסטעמען וואס ניצן די "%u" סובסטיטוציע אין געוויסע קאנפיגוראציע טעקע דירעקטיוון, ווי למשל "Match exec." די פראבלעם ווערט געפארזכט דורך די באשטעטיגונג פון ספעציעלע אותיות אין דעם באניצער נאמען נאכדעם וואס %-סובסטיטוציעס ווערן דורכגעפירט אין דעם ssh_config קאנפיגוראציע טעקע.
• א זיכערהייט פראבלעם אין sshd וואס איז געפֿארזאַכט געוואָרן דורך אומרעכטע צופּאַסונג פֿון דער authorized_keys principals="" אָפּציע מיט דער רשימה פֿון נעמען (פּרינציפּאַלן) אין אַ סערטיפֿיקאַט ווען די נעמען אַנטהאַלטן דעם "," כאַראַקטער איז פֿאַרריכט געוואָרן. אויסניצן די וואַלנעראַביליטי פֿאָדערט קייפל נעמען ספּעציפֿיצירט אין דער authorized_keys principals="" אָפּציע און די CA צו אַרויסגעבן אַ סערטיפֿיקאַט מיט קייפל נעמען געטיילט מיט קאָמעס (דאָס איז נאָרמאַל נישט ערלויבט). די נאַטור פֿאַר סערטיפֿיקאַטן מיט אַ ליידיקן נאָמען איז געביטן געוואָרן: פֿריִער, איז אַ ליידיקער נאָמען געווען באַדעקט דורך אַלע authorized_keys principals="" אָפּציעס, אָבער איצט איז עס נישט באַדעקט.
• געפיקסט אַ פּראָבלעם אין scp וואו אַרויפֿלאָדן אַ טעקע ווי וואָרצל מיט דער -O אָפּציע און אָן דער -p אָפּציע וואָלט נישט אויסגעמעקט די setuid/setgid פֿאָנען.
• אין sshd, איז א פראבלעם מיטן האנדלען מיט ECDSA שליסלען אין די PubkeyAcceptedAlgorithms און HostbasedAcceptedAlgorithms דירעקטיוון געווארן פארראכטן, צוליב דעם, אויב ס'איז געווען ספעציפיצירט א ECDSA אלגאריטם (למשל, "ecdsa-sha2-nistp384"), וועלן אלע אנדערע ECDSA-באזירטע אלגאריטמען אויך אנגענומען ווערן, אפילו אויב זיי זענען נישט קלאר אויסגערעכנט געווארן אלס אקצעפטירבאר.
• ווען מען אינטעראַקטירט מיט SSH אַגענטן, שטיצן ssh און sshd איצט די אידענטיפיצירער (קאָדפּאָינטס) וואָס זענען דעפינירט דורך IANA אין דער draft-ietf-sshm-ssh-agent ספּעציפֿיקאַציע. שטיצע פֿאַר פריער גענוצטע אידענטיפיצירער ווי "@openssh.com" ווערט באַהאַלטן.
• ssh-agent אימפלעמענטירט די "query" עקסטענשאַן, דעפינירט אין דער draft-ietf-sshm-ssh-agent ספעציפיקאציע, וואָס ערלויבט צו באַשטימען די פֿעיִקייטן וואָס ווערן געשטיצט דורך דעם אַגענט. די "-Q" אָפּציע איז צוגעגעבן געוואָרן צום ssh-add יוטילאַטי צו פרעגן די ליסטע פון ​​געשטיצטע פּראָטאָקאָל עקסטענשאַנז.
• אין sshd_config, קען מען ספעציפיצירן קייפל טעקעס אין דער RevokedKeys דירעקטיווע, און אין ssh_config, קען מען ספעציפיצירן קייפל טעקעס אין דער RevokedHostKeys דירעקטיווע.
• SSH האט איצט אן עקסעקוט קאמאנד "~I" און אן אפציע "-O conninfo" צו ווייזן אינפארמאציע וועגן דער איצטיגער פארבינדונג, ווי אויך אן אפציע "-O channels" צו ווייזן אינפארמאציע וועגן אפענע קאנאלן.
• אין sshd, די PerSourcePenalties דירעקטיווע נעמט יעצט אריין די 'invaliduser' אפציע צו לייגן צו א פארשפעטיגונג (דעפאלט 5 סעקונדעס) ווען מען פרובירט זיך אריינצולאגן מיט א נישט-עקזיסטירנדיקן באניצער. די מעגלעכקייט צו ספעציפיצירן נישט-גאנצע צאל פארשפעטיגונג ווערטן איז צוגעגעבן געווארן.
• די GSSAPIDelegateCredentials אָפּציע איז צוגעגעבן געוואָרן צו sshd צו קאָנטראָלירן די אַקסעפּטאַנס פון דעלעגירטע קרעדענשאַלז צוגעשטעלט דורך דעם קליענט.
• ssh-keygen שטיצט איצט שרייבן ED25519 שליסלען אין PKCS8 פֿאָרמאַט.
• צוגעגעבן שטיצע פאר דער ed25519 דיגיטאלער אונטערשריפט סכעמע, אימפלעמענטירט דורך libcrypto.

מקור: opennet.ru