经过六个月的开发,OpenSSH 9.1 版本已经发布,这是一个通过 SSH 2.0 和 SFTP 协议工作的客户端和服务器的开放实现。 该版本的特点是主要包含错误修复,包括由内存问题引起的几个潜在漏洞:
- ssh-keyscan 实用程序中 SSH 横幅处理代码中的单字节溢出。
- 在 ssh-keygen 实用程序中创建和验证数字签名的代码中计算文件哈希值时出现错误,请双重调用 free() 函数。
- 在 ssh-keysign 实用程序中处理错误时,双重调用 free() 函数。
主要变化:
- requiredRSASize 指令已添加到 ssh 和 sshd,允许您确定 RSA 密钥允许的最小大小。 在 sshd 中,较小的密钥将被忽略,而在 ssh 中,它们将终止连接。
- OpenSSH 的便携版已转换为使用 SSH 密钥对 Git 中的提交和标签进行数字签名。
- 如果在配置中多次定义环境变量(之前应用了最后一次提及),则 ssh_config 和 sshd_config 配置文件中的 SetEnv 指令现在将应用第一次提及环境变量时的值。
- 当使用“-A”标志调用 ssh-keygen 实用程序(生成默认情况下支持的所有类型的主机密钥)时,将禁用多年来未默认使用的 DSA 密钥的生成。
- sftp-server 和 sftp 实现扩展“[电子邮件保护]”,使客户端能够请求与一组指定的数字标识符(uid 和 gid)相对应的用户名和组名。 在 sftp 中,此扩展用于在显示目录内容时显示名称。
- sftp-server 实现了“home-directory”扩展来扩展 ~/ 和 ~user/ 路径,这是之前提出的扩展的替代方案“[电子邮件保护]”(“主目录”扩展是为了标准化而提出的,并且已经得到一些客户端的支持)。
- 除了系统时间之外,ssh-keygen 和 sshd 在确定证书和密钥有效性间隔时还添加了指定 UTC 时区时间的功能。
- sftp 允许使用“-D”选项指定其他参数(例如“/usr/libexec/sftp-server -el debug3”)。
- ssh-keygen 允许使用“-U”标志(使用 ssh-agent)以及“-Y 标志”操作来确定私钥由 ssh-agent 托管。
来源: opennet.ru