經過六個月的開發,OpenSSH 9.1 已經發布,這是一個通過 SSH 2.0 和 SFTP 協議工作的客戶端和服務器的開放實現。 該版本的特點是主要包含錯誤修復,包括修復由內存問題引起的幾個潛在漏洞:
- ssh-keyscan 實用程序中 SSH 橫幅處理代碼中的一字節溢出。
- 雙重調用 free() 函數,以防在 ssh-keygen 實用程序中創建和驗證數字簽名的代碼中計算文件哈希值時出現錯誤。
- 在 ssh-keysign 實用程序中處理錯誤時雙重調用 free()。
主要變化:
- requiredRSASize 指令已添加到 ssh 和 sshd,它允許您定義 RSA 密鑰允許的最小大小。 在 sshd 中,小於此的密鑰將被忽略,而在 ssh 中,它們將終止連接。
- OpenSSH 的便攜版已轉換為使用 SSH 密鑰對 Git 中的提交和標籤進行數字簽名。
- 如果在配置中多次定義了環境變量,則 ssh_config 和 sshd_config 配置文件中的 SetEnv 指令現在將應用第一次出現的環境變量的值(在此之前,應用最後一次出現的值)。
- 當使用“-A”標誌調用 ssh-keygen 實用程序(生成默認情況下支持的所有類型的主機密鑰)時,將禁用多年來未默認使用的 DSA 密鑰的生成。
- sftp-server 和 sftp 實現“[電子郵件保護]”,允許客戶端請求與指定的數字標識符集(uid 和 gid)相對應的用戶和組的名稱。 在 sftp 中,此擴展用於在列出目錄內容時顯示名稱。
- sftp-server 實現“home-directory”擴展來擴展 ~/ 和 ~user/ 路徑,作為“的替代方案”[電子郵件保護]”(“主目錄”擴展是為了標準化而提出的,並且已經得到一些客戶的支持)。
- 除了系統時間之外,還添加了 ssh-keygen 和 sshd 在確定證書和密鑰有效性間隔時指定 UTC 時間的功能。
- 在 sftp 中,“-D”選項中允許使用其他參數(例如“/usr/libexec/sftp-server -el debug3”)。
- ssh-keygen 允許使用“-U”標誌(使用 ssh-agent)以及“-Y 符號”操作來確定私鑰是否放置在 ssh-agent 中。
來源: opennet.ru