OpenSSH

OpenSSH yra laisvai platinamas ir atviro kodo programinės įrangos projektas, biblioteka ir komandinės eilutės programa, kuri veikia jūsų GNU / Linux operacinės sistemos fone ir saugo visą jūsų tinklą nuo įsibrovėlių ir užpuolikų. Tai atvirojo šaltinio "SSH" ("Secure Shell") specifikacija, specialiai skirta
Savybės iš pirmo žvilgsnio

"OpenSSH" yra atvirojo kodo projektas, platinamas pagal nemokamą licenciją. Jis siūlo stipraus autentifikavimo pagrįstą viešojo rakto, "Kerberos" autentifikavimo ir vienalaikio slaptažodžio standartais, stipriu šifravimu, pagrįstu AES, "Blowfish", "Arcfour" ir 3DES algoritmais, "X11" persiuntimo palaikais, šifruojant visą "X Window System" srautą, taip pat AFS ir Kerberos bilietas praeina.

Be to, programinės įrangos funkcija palaiko uosto persiuntimą, šifruojant kanalus seniems protokolams, duomenų suspaudimo palaikymui, agento persiuntimo palaikymui naudodami "Single Sign-On" (SSO) autentifikavimo standartą ir SFTP (Secure FTP) serverį bei klientų palaikymą SSH2 arba SSH1 protokolus.

Dar viena įdomi funkcija - sąveika, tai reiškia, kad projektas atitinka pirminio SSH (Secure Shell) protokolo 1.3, 1.5 ir 2.0 versijas. Po įdiegimo OpenSSH automatiškai pakeis standartines FTP, Telnet, RCP ir rlogin programas saugiomis jų versijomis, tokiomis kaip SFTP, SCP ir SSH.

"OpenSSH" projektas yra visiškai parašytas C programavimo kalba. Ją sudarė pagrindinis SSH įgyvendinimas ir SSH demonas, kuris veikia fone. Programinė įranga yra platinama daugiausia kaip universaliųjų šaltinių archyvas, kuris dirbs su bet kokiomis GNU / Linux operacinėmis sistemomis tiek 32 bitų, tiek 64 bitų architektūrose.

Nešiojama "OpenSSH" protokolo versija taip pat galima atsisiųsti "Softoware" nemokamai, vadinama "Portable OpenSSH". Tai atvirojo kodo SSH versijos 1 ir SSH versijos 2 protokolų operacinių sistemų Linux, BSD ir Solaris įgyvendinimas.

Kas naujo šiame leidime:

• Potencialiai nesuderinami pakeitimai:
• Šiame leidime yra keletas pakeitimų, kurie gali turėti įtakos esamoms konfigūracijoms:
• Šis išleidimas pašalina SSH v.1 protokolo serverio palaikymą.
• ssh (1): pašalinkite 3des-cbc iš kliento numatytojo pasiūlymo. 64 bitų blokų šifrai nėra saugūs 2016 m., Todėl mes nenorime laukti, kol išpuoliai, tokie kaip SWEET32, bus išplėsti iki SSH. Kadangi 3des-cbc buvo vienintelis privalomasis SSH RFC kodavimas, tai gali sukelti problemų prisijungiant prie senesnių įrenginių naudodami numatytąją konfigūraciją, tačiau labai tikėtina, kad tokiems įrenginiams jau vis tiek reikalinga aiški konfigūracija rakto keitimosi ir priimančiosios raktų algoritmais. sshd (8): pašalinkite pagalbą iš anksto autentifikavimo suspaudimui. 90-ajame dešimtmetyje suglaudinimas greičiausiai pasirodė priimtinas, tačiau šiandien tai akivaizdžiai yra bloga kriptografijos idėja (palyginti su daugeliu suspaudimo orakulų išpuolių TLS) ir atakos paviršiaus. "Pre-auth" suspaudimo palaikymas pagal nutylėjimą buvo išjungtas & gt; 10 metų. Palaikymas tebėra kliento. "ssh-agent" atsisakys įkelti PKCS # 11 modulius pagal numatytuosius nustatymus be balto patikimų maršrutų sąrašo. Kelio baltąjį sąrašą galima nurodyti vykdymo metu.
• sshd (8): kai pasirodys prievartinė komanda tiek sertifikate, tiek autorizuotuose raktuose / principals command = apribojimas, sshd dabar atsisakys priimti sertifikatą, nebent jie yra identiški. Ankstesnė (dokumentuota) elgsena, kai sertifikatas priverstinai-komandą viršija kitą, gali būti šiek tiek painu ir klaidų. sshd (8): pašalinkite "UseLogin" konfigūravimo direktyvą ir palaikykite prisijungimo sesijų tvarkymą / bin / login.
• Pokyčiai nuo "OpenSSH 7.3":
• Sauga:
• ssh-agent (1): dabar atsisakys įkelti PKCS # 11 modulius iš kelio, esančio už patikimos baltojo sąrašo (konfigūruojama vykdymo metu). Prašymai įkelti modulius gali būti perduodami per agento persiuntimą, o užpuolikas gali bandyti įkelti priešingą PKCS # 11 modulį per persiunčiamo agento kanalą: PKCS # 11 moduliai yra dalijamos bibliotekos, todėl vykdant kodą sistemoje paleidžiamas ssh -agent, jei užpuolikas kontroliuoja persiunčiamą agento lizdą (kompiuteryje, kuriame veikia sshd serveris) ir gebėjimą rašyti priimančiosios operacinės sistemos ssh-agento failų sistemai (paprastai tai kompiuteris, kuriame veikia ssh klientas). Pranešė Jann Horn iš "Project Zero".
• sshd (8): kai privilegijos atskyrimas yra išjungtas, persiunčiami Unix domeno lizdai būtų sukurti sshd (8) su "root" privilegijomis, o ne autentišku vartotoju. Ši laidų versija atsisako "Unix" domeno lizdo peradresavimo, kai privilegijos atskyrimas yra išjungtas (privilegijos atskyrimas pagal nutylėjimą buvo įjungtas 14 metų). Pranešė Jann Horn iš "Project Zero".
• sshd (8): išvengti teorinio privatinės raktų medžiagos nutekėjimo privilegijuotiems atskirtiems vaiko procesams naudojant realloc (), skaitant raktus. Praktiškai nebuvo pastebėta tokio nuotėkio dėl įprasto dydžio raktų, o nuotėkis vaikui tiesiogiai nekelia pagrindinės medžiagos nepasitenkinimą turintiems vartotojams. Pranešė Jann Horn iš "Project Zero".
• sshd (8): bendras atminties tvarkytuvui, naudojamam iš anksto autentifikavimo suspaudimo palaikymo, buvo patikrinimų ribos, kurias kai kurie optimizuoti kompiliatoriai galėjo pašalinti. Be to, šis atminties valdytojas buvo neteisingai pasiekiamas, kai išankstinio autentifikavimo suspaudimas buvo išjungtas. Tai galėtų leisti išpuolius prieš privilegijuotą monitoriaus procesą iš "smėlio dėžės" privilegijų atskyrimo proceso (pirmiausia reikės kompromiso). Šis išleidimas pašalina palaikymą iš anksto autentifikavimo suspaudimui iš sshd (8). Pranešė Guido Vranken, naudodama Stack nestabilaus optimizavimo identifikavimo įrankį (http://css.csail.mit.edu/stack/).
• sshd (8): ištaisykite tarnybos atsisakymą, kai užpuolikas, kuris siunčia keletą KEXINIT pranešimų, gali suvartoti iki 128 MB kiekvieno ryšio. Pranešė Shi Lei, "Gear Team", "Qihoo 360".
• sshd (8): patvirtinti adresų intervalus "AllowUser" ir "DenyUsers" direktyvoms konfigūracijos įkėlimo metu ir atsisakyti priimti negaliojančius. Anksčiau buvo įmanoma nurodyti negaliojančius CIDR adresų intervalus (pvz., User@127.1.2.3/55) ir jie visada atitiktų, galbūt suteikdami prieigą, jei ji nebuvo numatyta. Pranešė Laurence Parry.
• Naujos funkcijos:
• ssh (1): pridėkite tarpinio jungimo režimą į ssh (1), kurį įkvėpė Simon Tatham, versija PuTTY. Tai leidžia tankinimo klientui bendrauti su pagrindiniu procesu naudojant SSH paketų ir kanalų protokolo pogrupį per Unix domeno lizdą, o pagrindinis procesas veikia kaip tarpinis serveris, kuris perduoda kanalų ID ir tt Tai leidžia jungti talpyklų režimą sistemos, kurioms trūksta failų-deskriptorių (naudojamas dabartinio multipleksavimo kodo) ir potencialiai kartu su Unix domeno lizdo peradresavimu, su klientais ir daugkartinio proceso pagrindiniu procesu skirtingose ​​mašinose. Tarpinio tarpinio režimo susiejimas gali būti naudojamas naudojant "ssh -O proxy ..."
• sshd (8): pridėkite sshd_config "DisableForwarding" parinktį, kuri atjungia X11, agento, TCP, tunelio ir Unix domeno lizdo peradresavimą, taip pat viską, ką galėtume įdiegti ateityje. Panašiai kaip "apriboti" authorized_keys vėliavą, tai turėtų būti paprastas ir ateityje saugus būdas apriboti paskyrą.
• sshd (8), ssh (1): palaikykite & quot; curve25519-sha256 & quot; pagrindinis mainų metodas. Tai yra identiška šiuo metu palaikomu metodu, pavadinimu "curve25519-sha256@libssh.org".
• sshd (8): patobulinkite SIGHUP tvarkymą, patikrinkite, ar paleidžiant sshd jau yra demonizuotas, ir praleidžiate skambučio demonui (3), jei jis yra. Tai užtikrina, kad SIGHUP iš naujo paleidus sshd (8) išlaiko tą patį proceso ID kaip pradinį vykdymą. sshd (8) taip pat atsilieps PidFile prieš SIGHUP paleidžiant iš naujo ir iš naujo sukurkite jį po sėkmingo naujo paleidimo, o ne palikti pasenusią failą konfigūracijos klaidos atveju. bz # 2641
• sshd (8): Leisti ClientAliveInterval ir ClientAliveCountMax direktyvas rodyti sshd_config atitikimo blokuose.
• sshd (8): pridėti% -escapes į AuthorizedPrincipalsCommand, kad atitiktų tuos, kuriuos palaiko AuthorizedKeysCommand (raktas, raktų tipas, pirštų atspaudai ir tt), ir keli kiti, kad suteiktų prieigą prie siūlomo sertifikato turinio.
• Pridėjo regresijos testus eilučių atitikimui, adresų atitikimo ir eilučių sanitizavimo funkcijoms.
• Patobulinta rakto apsikeitimo fuzzero diržai.
• Klaidos pataisymai:
• ssh (1): Leisti "IdentityFile" sėkmingai įkelti ir naudoti sertifikatus, kurie neturi atitinkamo atviro rakto. bz # 2617 sertifikatas id_rsa-cert.pub (ir ne id_rsa.pub).
• ssh (1): nustatykite viešojo rakto autentifikavimą, kai naudojama daug autentifikavimo, ir viešasis klavišas yra ne tik pirmasis bandomasis metodas. bz # 2642
• regresas: leiskite PuTTY sąveikos bandymus paleisti be priežiūros. bz # 2639
• ssh-agent (1), ssh (1): pagerinti ataskaitų teikimą bandant įkrauti raktus iš PKCS # 11 žetonų, kuriuose yra mažiau belaidžių žurnalų pranešimų, ir daugiau informacijos apie debuginius pranešimus. bz # 2610
• ssh (1): nutraukdami ControlMaster jungtis, neužterškite stderr, kai LogLevel = tyliai.
• sftp (1): įjungta ^ Z palaukite, kol pagrindinis ssh (1) sustabdomas, kol sustabdysite sftp (1), norėdami įsitikinti, kad ssh (1) tinkamai atkuria terminalo režimą, jei sustabdytas slaptažodžio eilutės metu.
• ssh (1): vengti užsiėmęs - palaukite, kol slaptažodžio eilutės metu ssh (1) bus laikinai sustabdytas.
• ssh (1), sshd (8): neteisingai pranešti apie klaidas siunčiant ext-info pranešimus.
• sshd (8): sureguliuokite NULL-deref avariją, jei sshd (8) gavo pranešimą NEWKEYS iš naujo.
• sshd (8): teisingas sąrašas palaikomų parašo algoritmų, išsiųstų serverio sig-algs plėtinyje. bz # 2547
• sshd (8): ištaisykite siuntimo ext_info pranešimą, jei privsep yra išjungtas.
• sshd (8): griežčiau vykdykite tikėtiną privilegijos atskyrimo monitoriaus skambučių užsakymą, naudojamą autentiškumui patvirtinti, ir leisti juos tik tada, kai konfigūracijoje įjungiami jų atitinkami autentiškumo metodai
• sshd (8): Fix uninitialised optlen in getsockopt () call; "Unix / BSD" nekenksmingas, bet potencialiai "Cygwin" gedimas.
• Ištaisykite klaidingas teigiamas ataskaitas, kurias sukelia explicit_bzero (3), neatsiuntėte kaip atminties iniciatorė, kai sukompiliuota su "fsanitize-memory". sshd_config (5): naudokite 2001: db8 :: / 32, oficialų IPv6 antrinių tinklų konfigūracijos pavyzdžius.
• perkeliamumas:
• Aplinkose, kurios sukonfigūruotos su turkų lokalėmis, grįžkite į C / POSIX lokalę, kad išvengtumėte konfigūracijos analizės klaidų, kurias sukėlė unikalus "i" ir "I" tvarkymas. bz # 2643
• sftp serveris (8), ssh-agentas (1): uždrausti ptrce operacinėje sistemoje OS X naudodamas ptrace (PT_DENY_ATTACH, ..)
• ssh (1), sshd (8): neveikia AES-CTR šifruose senose (~ 0.9.8) OpenSSL.
• Nustatykite libcrypto kompiliaciją, sudarytą be RIPEMD160 palaikymo.
• contrib: pridėkite gnome-ssh-askpass3 su GTK + 3 palaikymu. bz # 2640 sshd (8): Pagerinkite PRNG per privilegijų atskyrimą ir priverskite libcrypto gauti aukštos kokybės sėklą prieš chroot arba sandboxing.
• Visi: aiškiai išbandykite skaldytą versiją. "NetBSD" pridėjo strnvis ir, deja, padarė tai nesuderinama su esama "OpenBSD" ir "Linux" libbsd (buvusi kuria jau daugiau nei dešimt metų). Pabandykite aptikti šią netvarka ir prisiimkite vienintelę saugią parinktį, jei mes sukursime kryžminį kompiliavimą.

Kas naujo versijoje:

• Potencialiai nesuderinami pakeitimai:
• Šiame leidime yra keletas pakeitimų, kurie gali turėti įtakos esamoms konfigūracijoms:
• Šis išleidimas pašalina SSH v.1 protokolo serverio palaikymą.
• ssh (1): pašalinkite 3des-cbc iš kliento numatytojo pasiūlymo. 64 bitų blokų šifrai nėra saugūs 2016 m., Todėl mes nenorime laukti, kol išpuoliai, tokie kaip SWEET32, bus išplėsti iki SSH. Kadangi 3des-cbc buvo vienintelis privalomasis SSH RFC kodavimas, tai gali sukelti problemų prisijungiant prie senesnių įrenginių naudodami numatytąją konfigūraciją, tačiau labai tikėtina, kad tokiems įrenginiams jau vis tiek reikalinga aiški konfigūracija rakto keitimosi ir priimančiosios raktų algoritmais. sshd (8): pašalinkite pagalbą iš anksto autentifikavimo suspaudimui. 90-ajame dešimtmetyje suglaudinimas greičiausiai pasirodė priimtinas, tačiau šiandien tai akivaizdžiai yra bloga kriptografijos idėja (palyginti su daugeliu suspaudimo orakulų išpuolių TLS) ir atakos paviršiaus. "Pre-auth" suspaudimo palaikymas pagal nutylėjimą buvo išjungtas & gt; 10 metų. Palaikymas tebėra kliento. "ssh-agent" atsisakys įkelti PKCS # 11 modulius pagal numatytuosius nustatymus be balto patikimų maršrutų sąrašo. Kelio baltąjį sąrašą galima nurodyti vykdymo metu.
• sshd (8): kai pasirodys prievartinė komanda tiek sertifikate, tiek autorizuotuose raktuose / principals command = apribojimas, sshd dabar atsisakys priimti sertifikatą, nebent jie yra identiški. Ankstesnė (dokumentuota) elgsena, kai sertifikatas priverstinai-komandą viršija kitą, gali būti šiek tiek painu ir klaidų. sshd (8): pašalinkite "UseLogin" konfigūravimo direktyvą ir palaikykite prisijungimo sesijų tvarkymą / bin / login.
• Pokyčiai nuo "OpenSSH 7.3":
• Sauga:
• ssh-agent (1): dabar atsisakys įkelti PKCS # 11 modulius iš kelio, esančio už patikimos baltojo sąrašo (konfigūruojama vykdymo metu). Prašymai įkelti modulius gali būti perduodami per agento persiuntimą, o užpuolikas gali bandyti įkelti priešingą PKCS # 11 modulį per persiunčiamo agento kanalą: PKCS # 11 moduliai yra dalijamos bibliotekos, todėl vykdant kodą sistemoje paleidžiamas ssh -agent, jei užpuolikas kontroliuoja persiunčiamą agento lizdą (kompiuteryje, kuriame veikia sshd serveris) ir gebėjimą rašyti priimančiosios operacinės sistemos ssh-agento failų sistemai (paprastai tai kompiuteris, kuriame veikia ssh klientas). Pranešė Jann Horn iš "Project Zero".
• sshd (8): kai privilegijos atskyrimas yra išjungtas, persiunčiami Unix domeno lizdai būtų sukurti sshd (8) su "root" privilegijomis, o ne autentišku vartotoju. Ši laidų versija atsisako "Unix" domeno lizdo peradresavimo, kai privilegijos atskyrimas yra išjungtas (privilegijos atskyrimas pagal nutylėjimą buvo įjungtas 14 metų). Pranešė Jann Horn iš "Project Zero".
• sshd (8): išvengti teorinio privatinės raktų medžiagos nutekėjimo privilegijuotiems atskirtiems vaiko procesams naudojant realloc (), skaitant raktus. Praktiškai nebuvo pastebėta tokio nuotėkio dėl įprasto dydžio raktų, o nuotėkis vaikui tiesiogiai nekelia pagrindinės medžiagos nepasitenkinimą turintiems vartotojams. Pranešė Jann Horn iš "Project Zero".
• sshd (8): bendras atminties tvarkytuvui, naudojamam iš anksto autentifikavimo suspaudimo palaikymo, buvo patikrinimų ribos, kurias kai kurie optimizuoti kompiliatoriai galėjo pašalinti. Be to, šis atminties valdytojas buvo neteisingai pasiekiamas, kai išankstinio autentifikavimo suspaudimas buvo išjungtas. Tai galėtų leisti išpuolius prieš privilegijuotą monitoriaus procesą iš "smėlio dėžės" privilegijų atskyrimo proceso (pirmiausia reikės kompromiso). Šis išleidimas pašalina palaikymą iš anksto autentifikavimo suspaudimui iš sshd (8). Pranešė Guido Vranken, naudodama Stack nestabilaus optimizavimo identifikavimo įrankį (http://css.csail.mit.edu/stack/).
• sshd (8): ištaisykite tarnybos atsisakymą, kai užpuolikas, kuris siunčia keletą KEXINIT pranešimų, gali suvartoti iki 128 MB kiekvieno ryšio. Pranešė Shi Lei, "Gear Team", "Qihoo 360".
• sshd (8): patvirtinti adresų intervalus "AllowUser" ir "DenyUsers" direktyvoms konfigūracijos įkėlimo metu ir atsisakyti priimti negaliojančius. Anksčiau buvo įmanoma nurodyti negaliojančius CIDR adresų intervalus (pvz., User@127.1.2.3/55) ir jie visada atitiktų, galbūt suteikdami prieigą, jei ji nebuvo numatyta. Pranešė Laurence Parry.
• Naujos funkcijos:
• ssh (1): pridėkite tarpinio jungimo režimą į ssh (1), kurį įkvėpė Simon Tatham, versija PuTTY. Tai leidžia tankinimo klientui bendrauti su pagrindiniu procesu naudojant SSH paketų ir kanalų protokolo pogrupį per Unix domeno lizdą, o pagrindinis procesas veikia kaip tarpinis serveris, kuris perduoda kanalų ID ir tt Tai leidžia jungti talpyklų režimą sistemos, kurioms trūksta failų-deskriptorių (naudojamas dabartinio multipleksavimo kodo) ir potencialiai kartu su Unix domeno lizdo peradresavimu, su klientais ir daugkartinio proceso pagrindiniu procesu skirtingose ​​mašinose. Tarpinio tarpinio režimo susiejimas gali būti naudojamas naudojant "ssh -O proxy ..."
• sshd (8): pridėkite sshd_config "DisableForwarding" parinktį, kuri atjungia X11, agento, TCP, tunelio ir Unix domeno lizdo peradresavimą, taip pat viską, ką galėtume įdiegti ateityje. Panašiai kaip "apriboti" authorized_keys vėliavą, tai turėtų būti paprastas ir ateityje saugus būdas apriboti paskyrą.
• sshd (8), ssh (1): palaikykite & quot; curve25519-sha256 & quot; pagrindinis mainų metodas. Tai yra identiška šiuo metu palaikomu metodu, pavadinimu "curve25519-sha256@libssh.org".
• sshd (8): patobulinkite SIGHUP tvarkymą, patikrinkite, ar paleidžiant sshd jau yra demonizuotas, ir praleidžiate skambučio demonui (3), jei jis yra. Tai užtikrina, kad SIGHUP iš naujo paleidus sshd (8) išlaiko tą patį proceso ID kaip pradinį vykdymą. sshd (8) taip pat atsilieps PidFile prieš SIGHUP paleidžiant iš naujo ir iš naujo sukurkite jį po sėkmingo naujo paleidimo, o ne palikti pasenusią failą konfigūracijos klaidos atveju. bz # 2641
• sshd (8): Leisti ClientAliveInterval ir ClientAliveCountMax direktyvas rodyti sshd_config atitikimo blokuose.
• sshd (8): pridėti% -escapes į AuthorizedPrincipalsCommand, kad atitiktų tuos, kuriuos palaiko AuthorizedKeysCommand (raktas, raktų tipas, pirštų atspaudai ir tt), ir keli kiti, kad suteiktų prieigą prie siūlomo sertifikato turinio.
• Pridėjo regresijos testus eilučių atitikimui, adresų atitikimo ir eilučių sanitizavimo funkcijoms.
• Patobulinta rakto apsikeitimo fuzzero diržai.
• Klaidos pataisymai:
• ssh (1): Leisti "IdentityFile" sėkmingai įkelti ir naudoti sertifikatus, kurie neturi atitinkamo atviro rakto. bz # 2617 sertifikatas id_rsa-cert.pub (ir ne id_rsa.pub).
• ssh (1): nustatykite viešojo rakto autentifikavimą, kai naudojama daug autentifikavimo, ir viešasis klavišas yra ne tik pirmasis bandomasis metodas. bz # 2642
• regresas: leiskite PuTTY sąveikos bandymus paleisti be priežiūros. bz # 2639
• ssh-agent (1), ssh (1): pagerinti ataskaitų teikimą bandant įkrauti raktus iš PKCS # 11 žetonų, kuriuose yra mažiau belaidžių žurnalų pranešimų, ir daugiau informacijos apie debuginius pranešimus. bz # 2610
• ssh (1): nutraukdami ControlMaster jungtis, neužterškite stderr, kai LogLevel = tyliai.
• sftp (1): įjungta ^ Z palaukite, kol pagrindinis ssh (1) sustabdomas, kol sustabdysite sftp (1), norėdami įsitikinti, kad ssh (1) tinkamai atkuria terminalo režimą, jei sustabdytas slaptažodžio eilutės metu.
• ssh (1): vengti užsiėmęs - palaukite, kol slaptažodžio eilutės metu ssh (1) bus laikinai sustabdytas.
• ssh (1), sshd (8): neteisingai pranešti apie klaidas siunčiant ext-info pranešimus.
• sshd (8): sureguliuokite NULL-deref avariją, jei sshd (8) gavo pranešimą NEWKEYS iš naujo.
• sshd (8): teisingas sąrašas palaikomų parašo algoritmų, išsiųstų serverio sig-algs plėtinyje. bz # 2547
• sshd (8): ištaisykite siuntimo ext_info pranešimą, jei privsep yra išjungtas.
• sshd (8): griežčiau vykdykite tikėtiną privilegijos atskyrimo monitoriaus skambučių užsakymą, naudojamą autentiškumui patvirtinti, ir leisti juos tik tada, kai konfigūracijoje įjungiami jų atitinkami autentiškumo metodai
• sshd (8): Fix uninitialised optlen in getsockopt () call; "Unix / BSD" nekenksmingas, bet potencialiai "Cygwin" gedimas.
• Ištaisykite klaidingas teigiamas ataskaitas, kurias sukelia explicit_bzero (3), neatsiuntėte kaip atminties iniciatorė, kai sukompiliuota su "fsanitize-memory". sshd_config (5): naudokite 2001: db8 :: / 32, oficialų IPv6 antrinių tinklų konfigūracijos pavyzdžius.
• perkeliamumas:
• Aplinkose, kurios sukonfigūruotos su turkų lokalėmis, grįžkite į C / POSIX lokalę, kad išvengtumėte konfigūracijos analizės klaidų, kurias sukėlė unikalus "i" ir "I" tvarkymas. bz # 2643
• sftp serveris (8), ssh-agentas (1): uždrausti ptrce operacinėje sistemoje OS X naudodamas ptrace (PT_DENY_ATTACH, ..)
• ssh (1), sshd (8): neveikia AES-CTR šifruose senose (~ 0.9.8) OpenSSL.
• Nustatykite libcrypto kompiliaciją, sudarytą be RIPEMD160 palaikymo.
• contrib: pridėkite gnome-ssh-askpass3 su GTK + 3 palaikymu. bz # 2640 sshd (8): Pagerinkite PRNG per privilegijų atskyrimą ir priverskite libcrypto gauti aukštos kokybės sėklą prieš chroot arba sandboxing.
• Visi: aiškiai išbandykite skaldytą versiją. "NetBSD" pridėjo strnvis ir, deja, padarė tai nesuderinama su esama "OpenBSD" ir "Linux" libbsd (buvusi kuria jau daugiau nei dešimt metų). Pabandykite aptikti šią netvarka ir prisiimkite vienintelę saugią parinktį, jei mes sukursime kryžminį kompiliavimą.

Kas naujo 7.4 versijoje:

• Potencialiai nesuderinami pakeitimai:
• Šiame leidime yra keletas pakeitimų, kurie gali turėti įtakos esamoms konfigūracijoms:
• Šis išleidimas pašalina SSH v.1 protokolo serverio palaikymą.
• ssh (1): pašalinkite 3des-cbc iš kliento numatytojo pasiūlymo. 64 bitų blokų šifrai nėra saugūs 2016 m., Todėl mes nenorime laukti, kol išpuoliai, tokie kaip SWEET32, bus išplėsti iki SSH. Kadangi 3des-cbc buvo vienintelis privalomasis SSH RFC kodavimas, tai gali sukelti problemų prisijungiant prie senesnių įrenginių naudodami numatytąją konfigūraciją, tačiau labai tikėtina, kad tokiems įrenginiams jau vis tiek reikalinga aiški konfigūracija rakto keitimosi ir priimančiosios raktų algoritmais. sshd (8): pašalinkite pagalbą iš anksto autentifikavimo suspaudimui. 90-ajame dešimtmetyje suglaudinimas greičiausiai pasirodė priimtinas, tačiau šiandien tai akivaizdžiai yra bloga kriptografijos idėja (palyginti su daugeliu suspaudimo orakulų išpuolių TLS) ir atakos paviršiaus. "Pre-auth" suspaudimo palaikymas pagal nutylėjimą buvo išjungtas & gt; 10 metų. Palaikymas tebėra kliento. "ssh-agent" atsisakys įkelti PKCS # 11 modulius pagal numatytuosius nustatymus be balto patikimų maršrutų sąrašo. Kelio baltąjį sąrašą galima nurodyti paleidimo metu.
• sshd (8): kai pasirodys prievartinė komanda tiek sertifikate, tiek autorizuotuose raktuose / principals command = apribojimas, sshd dabar atsisakys priimti sertifikatą, nebent jie yra identiški. Ankstesnė (dokumentuota) elgsena, kai sertifikatas priverstinai-komandą viršija kitą, gali būti šiek tiek painu ir klaidų. sshd (8): pašalinkite "UseLogin" konfigūravimo direktyvą ir palaikykite prisijungimo sesijų tvarkymą / bin / login.
• Pokyčiai nuo "OpenSSH 7.3":
• Sauga:
• ssh-agent (1): dabar atsisakys įkelti PKCS # 11 modulius iš kelio, esančio už patikimos baltojo sąrašo (konfigūruojama vykdymo metu). Prašymai įkelti modulius gali būti perduodami per agento persiuntimą, o užpuolikas gali bandyti įkelti priešingą PKCS # 11 modulį per persiunčiamo agento kanalą: PKCS # 11 moduliai yra dalijamos bibliotekos, todėl vykdant kodą sistemoje paleidžiamas ssh -agent, jei užpuolikas kontroliuoja persiunčiamą agento lizdą (kompiuteryje, kuriame veikia sshd serveris) ir gebėjimą rašyti priimančiosios operacinės sistemos ssh-agento failų sistemai (paprastai tai kompiuteris, kuriame veikia ssh klientas). Pranešė Jann Horn iš "Project Zero".
• sshd (8): kai privilegijos atskyrimas yra išjungtas, persiunčiami Unix domeno lizdai būtų sukurti sshd (8) su "root" privilegijomis, o ne autentišku vartotoju. Ši laidų versija atsisako "Unix" domeno lizdo peradresavimo, kai privilegijos atskyrimas yra išjungtas (privilegijos atskyrimas pagal nutylėjimą buvo įjungtas 14 metų). Pranešė Jann Horn iš "Project Zero".
• sshd (8): išvengti teorinio privatinės raktų medžiagos nutekėjimo privilegijuotiems atskirtiems vaiko procesams naudojant realloc (), skaitant raktus. Praktiškai nebuvo pastebėta tokio nuotėkio dėl įprasto dydžio raktų, o nuotėkis vaikui tiesiogiai nekelia pagrindinės medžiagos nepasitenkinimą turintiems vartotojams. Pranešė Jann Horn iš "Project Zero".
• sshd (8): bendras atminties tvarkytuvui, naudojamam iš anksto autentifikavimo suspaudimo palaikymo, buvo patikrinimų ribos, kurias kai kurie optimizuoti kompiliatoriai galėjo pašalinti. Be to, šis atminties valdytojas buvo neteisingai pasiekiamas, kai išankstinio autentifikavimo suspaudimas buvo išjungtas. Tai galėtų leisti išpuolius prieš privilegijuotą monitoriaus procesą iš "smėlio dėžės" privilegijų atskyrimo proceso (pirmiausia reikės kompromiso). Šis išleidimas pašalina palaikymą iš anksto autentifikavimo suspaudimui iš sshd (8). Pranešė Guido Vranken, naudodama Stack nestabilaus optimizavimo identifikavimo įrankį (http://css.csail.mit.edu/stack/).
• sshd (8): ištaisykite tarnybos atsisakymą, kai užpuolikas, kuris siunčia keletą KEXINIT pranešimų, gali suvartoti iki 128 MB kiekvieno ryšio. Pranešė Shi Lei, "Gear Team", "Qihoo 360".
• sshd (8): patvirtinti adresų intervalus "AllowUser" ir "DenyUsers" direktyvoms konfigūracijos įkėlimo metu ir atsisakyti priimti negaliojančius. Anksčiau buvo įmanoma nurodyti negaliojančius CIDR adresų intervalus (pvz., User@127.1.2.3/55) ir jie visada atitiktų, galbūt suteikdami prieigą, jei ji nebuvo numatyta. Pranešė Laurence Parry.
• Naujos funkcijos:
• ssh (1): pridėkite tarpinio jungimo režimą į ssh (1), kurį įkvėpė Simon Tatham, versija PuTTY. Tai leidžia tankinimo klientui bendrauti su pagrindiniu procesu naudojant SSH paketų ir kanalų protokolo pogrupį per Unix domeno lizdą, o pagrindinis procesas veikia kaip tarpinis serveris, kuris perduoda kanalų ID ir tt Tai leidžia jungti talpyklų režimą sistemos, kurioms trūksta failų-deskriptorių (naudojamas dabartinio multipleksavimo kodo) ir potencialiai kartu su Unix domeno lizdo peradresavimu, su klientais ir daugkartinio proceso pagrindiniu procesu skirtingose ​​mašinose. Tarpinio tarpinio režimo susiejimas gali būti naudojamas naudojant "ssh -O proxy ..."
• sshd (8): pridėkite sshd_config "DisableForwarding" parinktį, kuri atjungia X11, agento, TCP, tunelio ir Unix domeno lizdo peradresavimą, taip pat viską, ką galėtume įdiegti ateityje. Panašiai kaip "apriboti" authorized_keys vėliavą, tai turėtų būti paprastas ir ateityje saugus būdas apriboti paskyrą.
• sshd (8), ssh (1): palaikykite "curve25519-sha256" klavišų keitimo metodą. Tai yra identiška šiuo metu palaikomu metodu "curve25519-sha256@libssh.org".
• sshd (8): patobulinkite SIGHUP tvarkymą, patikrinkite, ar paleidžiant sshd jau yra demonizuotas, ir praleidžiate skambučio demonui (3), jei jis yra. Tai užtikrina, kad SIGHUP iš naujo paleidus sshd (8) išlaiko tą patį proceso ID kaip pradinį vykdymą. sshd (8) taip pat atsilieps PidFile prieš SIGHUP paleidžiant iš naujo ir iš naujo sukurkite jį po sėkmingo naujo paleidimo, o ne palikti pasenusią failą konfigūracijos klaidos atveju. bz # 2641
• sshd (8): Leisti ClientAliveInterval ir ClientAliveCountMax direktyvas rodyti sshd_config atitikimo blokuose.
• sshd (8): pridėti% -escapes į AuthorizedPrincipalsCommand, kad atitiktų tuos, kuriuos palaiko AuthorizedKeysCommand (raktas, raktų tipas, pirštų atspaudai ir tt), ir keli kiti, kad suteiktų prieigą prie siūlomo sertifikato turinio.
• Pridėjo regresijos testus eilučių atitikimui, adresų atitikimo ir eilučių sanitizavimo funkcijoms.
• Patobulinta rakto apsikeitimo fuzzero diržai.
• Klaidos pataisymai:
• ssh (1): Leisti "IdentityFile" sėkmingai įkelti ir naudoti sertifikatus, kurie neturi atitinkamo atviro rakto. bz # 2617 sertifikatas id_rsa-cert.pub (ir ne id_rsa.pub).
• ssh (1): nustatykite viešojo rakto autentifikavimą, kai naudojama daug autentifikavimo, ir viešasis klavišas yra ne tik pirmasis bandomasis metodas. bz # 2642
• regresas: leiskite PuTTY sąveikos bandymus paleisti be priežiūros. bz # 2639
• ssh-agent (1), ssh (1): pagerinti ataskaitų teikimą bandant įkrauti raktus iš PKCS # 11 žetonų, kuriuose yra mažiau belaidžių žurnalų pranešimų, ir daugiau informacijos apie debuginius pranešimus. bz # 2610
• ssh (1): nutraukdami ControlMaster jungtis, neužterškite stderr, kai LogLevel = tyliai.
• sftp (1): įjungta ^ Z palaukite, kol pagrindinis ssh (1) sustabdomas, kol sustabdysite sftp (1), norėdami įsitikinti, kad ssh (1) tinkamai atkuria terminalo režimą, jei sustabdytas slaptažodžio eilutės metu.
• ssh (1): vengti užsiėmęs - palaukite, kol slaptažodžio eilutės metu ssh (1) bus laikinai sustabdytas.
• ssh (1), sshd (8): neteisingai pranešti apie klaidas siunčiant ext-info pranešimus.
• sshd (8): sureguliuokite NULL-deref avariją, jei sshd (8) gavo pranešimą NEWKEYS iš naujo.
• sshd (8): teisingas sąrašas palaikomų parašo algoritmų, išsiųstų serverio sig-algs plėtinyje. bz # 2547
• sshd (8): ištaisykite siuntimo ext_info pranešimą, jei privsep yra išjungtas.
• sshd (8): griežčiau vykdykite tikėtiną privilegijos atskyrimo monitoriaus skambučių užsakymą, naudojamą autentiškumui patvirtinti, ir leisti juos tik tada, kai konfigūracijoje įjungiami jų atitinkami autentiškumo metodai
• sshd (8): Fix uninitialised optlen in getsockopt () call; "Unix / BSD" nekenksmingas, bet potencialiai "Cygwin" gedimas.
• Ištaisykite klaidingas teigiamas ataskaitas, kurias sukelia explicit_bzero (3), neatsiuntėte kaip atminties iniciatorė, kai sukompiliuota su "fsanitize-memory". sshd_config (5): naudokite 2001: db8 :: / 32, oficialų IPv6 antrinių tinklų konfigūracijos pavyzdžius.
• perkeliamumas:
• Aplinkose, kurios sukonfigūruotos su turkų lokalėmis, grįžkite į C / POSIX lokalę, kad išvengtumėte konfigūracijos analizės klaidų, kurias sukėlė unikalus "i" ir "I" tvarkymas. bz # 2643
• sftp serveris (8), ssh-agentas (1): uždrausti ptrce operacinėje sistemoje OS X naudodamas ptrace (PT_DENY_ATTACH, ..)
• ssh (1), sshd (8): neveikia AES-CTR šifruose senose (~ 0.9.8) OpenSSL.
• Nustatykite libcrypto kompiliaciją, sudarytą be RIPEMD160 palaikymo.
• prisidėti: pridėti gnome-ssh-askpass3 su GTK + 3 palaikymu. bz # 2640 sshd (8): Pagerinkite PRNG per privilegijų atskyrimą ir priverskite libcrypto gauti aukštos kokybės sėklą prieš chroot arba sandboxing.
• Visi: aiškiai išbandykite skaldytą versiją. "NetBSD" pridėjo strnvis ir, deja, padarė tai nesuderinama su esama "OpenBSD" ir "Linux" libbsd (buvusi kuria jau daugiau nei dešimt metų). Pabandykite aptikti šią netvarka ir prisiimkite vienintelę saugią parinktį, jei mes sukursime kryžminį kompiliavimą.

Kas naujo 7.3 versijoje:

• Sauga:
• sshd (8): sušvelninkite potencialų paslaugos atmetimą sistemos kripto funkcijai (3) per sshd (8). Užpuolikas gali siųsti labai ilgus slaptažodžius, kurie gali sukelti per didelį procesoriaus naudojimą kriptoje (3). sshd (8) dabar atsisako priimti slaptažodžio autentifikavimo užklausas, kurių ilgis didesnis nei 1024 simboliai. Nepriklausomai pranešė Tomas Kuthan (Oracle), Andresas Rojasas ir Javieras Nietas.
• sshd (8): sušvelninti slaptažodžio autentifikavimo laiko skirtumus, kurie gali būti naudojami siekiant nustatyti galiojančius iš netinkamų paskyrų pavadinimų, kai buvo išsiųsti ilgi slaptažodžiai, ir tam tikri slaptažodžių maišymo algoritmai yra naudojami serveryje. CVE-2016-6210, pranešė EddieEzra.Harari, esanti verint.com
• ssh (1), sshd (8): nustatykite stebėjimo laiko silpnumą CBC užpildymo orakulės atsakomiesiems veiksmams. Pranešė Jean Paul Degabriele, Kenny Paterson, Torben Hansen ir Martin Albrecht. Atkreipkite dėmesį, kad CBC šifrai pagal nutylėjimą yra išjungti ir įtraukti tik į seną suderinamumą.
• ssh (1), sshd (8): pagerinti MAC patvirtinimo operacijų užsakymą Šifruoti-tada-MAC (EtM) režimo transportavimo MAC algoritmus, kad patikrintų MAC prieš iššifruoti bet kurį kodavimo kodą. Tai pašalina laiko skirtumus, dėl kurių nutekėjo faktai apie paprastą tekstą, tačiau toks nuotėkis nebuvo pastebėtas. Pranešė Jean Paul Degabriele, Kenny Paterson, Torben Hansen ir Martin Albrecht. sshd (8): (tik nešiojamiesiems) Ignoruoti PAM aplinka vars, kai UseLogin = taip. Jei PAM sukonfigūruota skaityti vartotojo nurodytus aplinkos kintamuosius ir UseLogin = yes sistemoje sshd_config, tada priešiškas lokalus vartotojas gali atakuoti / bin / prisijungti per LD_PRELOAD arba panašius aplinkos kintamuosius, nustatytus naudojant PAM. CVE-2015-8325, kurį randa Shayan Sadigh.
• Naujos funkcijos:
• ssh (1): pridėkite parinktį ProxyJump ir atitinkamą -J komandų eilutės vėliavėlę, kad leistumėte supaprastintą nukreipimą per vieną ar daugiau SSH bastionų arba "šokinėkite".
• ssh (1): pridėkite "IdentityAgent" parinktį, kad leistumėte nurodyti konkrečius agento lizdus, ​​o ne priimti jį iš aplinkos. ssh (1): leisti ExitOnForwardFailure ir ClearAllForwardings pasirinktinai panaikinti naudojant ssh -W. bz # 2577
• ssh (1), sshd (8): Įdiekite IUTF8 terminalo režimo palaikymą pagal draft-sgtatham-secsh-iutf8-00. ssh (1), sshd (8): pridedama parama papildomoms fiksuoto Diffie-Hellman 2K, 4K ir 8K grupėms iš draft-ietf-curdle-ssh-kex-sha2-03.
• ssh-keygen (1), ssh (1), sshd (8): palaikykite sertifikatus SHA256 ir SHA512 RSA parašus; ssh (1): pridėkite Įtraukimo direktyvą į ssh_config (5) failus.
• ssh (1): leisti UTF-8 simbolius iš serverio išsiųstų iš anksto autentifikavimo banerių. bz # 2058
• Klaidos pataisymai:
• ssh (1), sshd (8): sumažinkite kai kurių santykinai dažnų protokolo įvykių iš LOG_CRIT sistemos lygį. bz # 2585
• sshd (8): atmesti autentifikavimo metodus = "" konfigūracijose ir priimti autentifikavimo metodus = bet kokį numatytąjį elgesį, kai nereikia kelių autentiškumo. bz # 2398
• sshd (8): Pašalinkite pasenusią ir klaidinančią "GALIMYBĘ BREAK-IN ATTEMPT!" pranešimas, kai pirmyn ir atgalinės DNS neatitinka. bz # 2585
• ssh (1): uždarykite ControlPersist fono proceso stderr, išskyrus derinimo režimą arba prisijungdami prie syslog. bz # 1988
• misc: Padarykite "PROTOCOL" aprašymą, skirtą tiesioginio srauto@openssh.com kanalo atviriems pranešimams, kad jie atitiktų įdiegtą kodą. bz # 2529
• ssh (1): Deduplicate "LocalForward" ir "RemoteForward" įrašai, skirti ištaisyti nesėkmes, kai įjungiamos "ExitOnForwardFailure" ir "hostname canonicalisation". bz # 2562
• sshd (8): pašalinkite atsarginę dalį iš modulių į pasenusią "primes" failą, kuris buvo pasenęs 2001 metais. bz # 2559.
• sshd_config (5): teisingas "UseDNS" aprašymas: tai turi įtakos ssh hostnamo apdorojimui už authorized_keys, not known_hosts; bz # 2554 ssh (1): Fiksuokite autentifikavimą naudodamiesi vieninteliu sertifikato raktų agentu be atitinkamų privačių raktų failų sistemoje. bz # 2550
• sshd (8): siųsti ClientAliveInterval pings, kai yra nustatytas laiko nustatytas RekeyLimit; anksčiau palaikomi paketai nebuvo išsiųsti. bz # 2252

Kas naujo 7.2 versijoje:

• Sauga:
• ssh (1), sshd (8): pašalinti neužbaigtą ir nepanaudotą tarptinklinio kodą (jau buvo priverstinai išjungtas OpenSSH 7.1p2).
• ssh (1): pašalinkite atsarginę kopiją nuo nepatikimos X11 persiuntimo į patikimą persiuntimą, kai "X" serveris išjungia "SECURITY" plėtinį.
• ssh (1), sshd (8): padidinkite minimalų modulio dydį, kuris palaikomas "diffie-hellman" grupės mainams iki 2048 bitų.
• sshd (8): iš anksto įjungta smėlio dėžė yra įjungta pagal numatytuosius nustatymus (ankstesni leidimai įgalino ją naujiems įrenginiams naudojant sshd_config).
• Naujos funkcijos:
• visi: pridėti RSA parašų palaikymą naudojant SHA-256/512 maišos algoritmus, pagrįstus draft-rsa-dsa-sha2-256-03.txt ir draft-ssh-ext-info-04.txt.
• ssh (1): pridėkite "AddKeysToAgent" kliento parinktį, kurią galima nustatyti "taip", "ne", "paklausti" arba "patvirtinti", o numatytuosius - "ne". Kai įjungtas, privatus raktas, kuris naudojamas autentifikavimo metu, bus įtrauktas į ssh-agentą, jei jis veikia (su patvirtinimu įjungta, jei nustatyta "patvirtinti").
• sshd (8): pridėti naują authorized_keys parinktį "apriboti", kurioje yra visi esami ir būsimi pagrindiniai apribojimai (no - * - persiuntimas ir tt). Taip pat pridėkite leistinas galiojančių apribojimų versijas, pvz., "no-pty" - & gt; "pty". Tai supaprastina uždraustų raktų nustatymo užduotį ir užtikrina, kad jie būtų maksimaliai ribojami, nepriklausomai nuo to, kokie leidimai galėtume įgyvendinti ateityje. ssh (1): pridėkite ssh_config CertificateFile parinktį, norėdami aiškiai nurodyti sertifikatus. bz # 2436
• ssh-keygen (1): leisti ssh-keygen pakeisti visų palaikomų formatų pagrindinę komentarą.
• ssh-keygen (1): leisti pirštų atspaudus iš įprasto įvesties, pvz., "ssh-keygen-lf -"
• ssh-keygen (1): leiskite failų pirštų atspaudus kelis viešuosius raktus, pvz., "ssh-keygen-lf ~ / .ssh / authorized_keys" bz # 1319
• sshd (8): palaikykite "none" kaip sshd_config "Foreground" ir "ChrootDirectory" argumentą. Naudinga viduje "Match" blokai, norėdami panaikinti visuotinį numatymą. bz # 2486
• ssh-keygen (1): "ssh-keygen -L" ssh-keyscan (1) palaiko keletą sertifikatų (po vieną eilutėje) ir skaitomas iš standartinio įvesties (naudojant "-f -"): pridėti "ssh- keyscan-c ... ", kad leistų atrinkti sertifikatus vietoj paprastų raktų.
• ssh (1): geriau tvarkykite priskirtus FQDN (pvz., "cvs.openbsd.org."), esančius kompiuterio vardo kanonizacijoje. Tvarkykite juos kaip jau kanonus ir pašalinkite pabaigos "." prieš surenkant ssh_config.
• Klaidos pataisymai:
• sftp (1): esami paskirties katalogai neturėtų nutraukti rekursinių įkėlimų (regresija iš openssh 6.8) bz # 2528
• ssh (1), sshd (8): teisingai atsiųskite SSH2_MSG_UNIMPLEMENTED atsakymus į netikėtus pranešimus keitimo metu. bz # 2949
• ssh (1): atsisakymas bandyti nustatyti ConnectionAttempts = 0, kuris neturi prasmės ir gali sukelti ssh spausdinti neiniciuotą kamino kintamąjį. bz # 2500
• ssh (1): nustatant klaidas, bandant prisijungti prie apriboti IPv6 adresų, su įgalinta prieglobos vardo kanonizacija.
• sshd_config (5): pateikite dar kelias parinktis, kurias galima naudoti atitikties blokuose. bz # 2489
• sshd (8): nustatykite "PubkeyAcceptedKeyTypes + ..." atitikties bloko viduje. ssh (1): išplėsti tildės simbolius failų pavadinimuose, perduotuose-i parinktyse, prieš patikrinant, ar egzistuoja asmens tapatybė. Vengia painiavos tais atvejais, kai lukštais nėra išplėsti (pvz., "-i ~ / failas" ir "-i ~ / failas"). bz # 2481
• ssh (1): nepakeiskite "exec" į "shell executable" komandą, kurią vykdys konfigūracijos failas, todėl kai kurios komandos gali sugesti tam tikrose aplinkose. bz # 2471
• ssh-keyscan (1): nustatykite išvestį keliems kompiuteriams / addrs vienoje eilutėje, kai naudojamas maišymo kompiuteris arba nestandartinis prievadas bz # 2479
• sshd (8): praleidžiant pranešimą "Nepavyko chdir į namų katalogą", kai "ChrootDirectory" yra aktyvus. bz # 2485
• ssh (1): įtraukti "PubkeyAcceptedKeyTypes" į ssh -G konfigūraciją. sshd (8): vengti keisti TunnelForwarding įrenginio vėliavos, jei jie jau yra tai, ko reikia; leidžia tuščią tinklą naudoti kaip ne root vartotojo, jei įrenginio leidimai ir sąsajos vėliavos yra iš anksto nustatytos
• ssh (1), sshd (8): RekeyLimits gali būti viršytas vienu paketu. bz # 2521
• ssh (1): sureguliuokite multipleksavimo pagrindinį meniu nepastebi kliento išėjimo.
• ssh (1), ssh-agentas (1): išvengti mirtinų () PKCS11 žetonų, kurie pateikia tuščius raktų identifikatorius. bz # 1773
• sshd (8): vengti NULL argumento printf. bz # 2535
• ssh (1), sshd (8): leisti RekeyLimits didesnis nei 4GB. bz # 2521
• ssh-keygen (1): sshd (8): ištaisykite keletą (nepanaudotų) KRL parašų palaikymo klaidų.
• ssh (1), sshd (8): nustatyti ryšius su bendraamžiais, kurie naudoja protokolo rakto pasikeitimo prielaidą. bz # 2515
• sshd (8): priskirkite nuotolinio prievado numerį žurnalo pranešimuose. bz # 2503
• ssh (1): nebandykite įkelti SSHv1 privataus rakto, kai jį sukonfigūravote be SSHv1 palaikymo. bz # 2505
• ssh-agent (1), ssh (1): nustatykite klaidingus klaidų pranešimus klavišų įkėlimo ir pasirašymo klaidų metu. bz # 2507
• ssh-keygen (1): nepaliekant tuščių laikinų failų vykdant failų žinomu_hosts, kai know_hosts neegzistuoja.
• sshd (8): teisingas paketų formatas atsakymams tcpip į priekį užklausoms, kuriose nepaskirstytas uostas bz # 2509
• ssh (1), sshd (8): nustatyti galimą pakabinti uždarą išvestį. bz # 2469 ssh (1): išplėsti% i iš ControlPath į UID. bz # 2449
• ssh (1), sshd (8): nustatyti grąžinimo tipą openssh_RSA_verify. bz # 2460
• ssh (1), sshd (8): pataisykite keletą parinkčių analizuojant atminties nutekimus. bz # 2182
• ssh (1): pridėti keletą derinimo išvesties prieš DNS raišką; tai vieta, kur ssh anksčiau galėjo tyliai išstumti nereaguojančių DNS serverių atveju. bz # 2433 ssh (1): pašalinkite klaidingą naują eilutę vizualiniame priimančiosios raktui. bz # 2686
• ssh (1): nustatyti spausdinimą (ssh -G ...) iš HostKeyAlgorithms = + ...
• ssh (1): nustatykite HostkeyAlgorithms išplėtimą = + ...
• Dokumentacija:
• ssh_config (5), sshd_config (5): atnaujinti numatytuosius algoritmų sąrašus, kad atitiktų dabartinę realybę. bz # 2527
• ssh (1): paminėkite -Q klavišų ir Q-key-cert užklausų parinktis. bz # 2455
• sshd_config (8): aiškiau apibūdinkite, ką veikia AuthorizedKeysFile =.
• ssh_config (5): geresnis dokumentas ExitOnForwardFailure. bz # 2444
• sshd (5): nurodykite vidines DH-GEX atsargines grupes rankiniu būdu. bz # 2302
• sshd_config (5): geresnis aprašymas "MaxSessions" parinkčiai. bz # 2531
• perkeliamumas:
• ssh (1), sftp serveris (8), ssh-agent (1), sshd (8): Palaikykite Illumos / Solaris smulkias privilegijas. Įtraukiama iš anksto atjungta privestp smėlio dėžė ir keletas įkaitų () emuliacijų. bz # 2511
• Atnaujinkite redhat / openssh.spec, pašalindami nenorintus parinktis ir sintaksę.
• konfigūruoti: leiskite --with-ssl-engine su --without-openssl
• sshd (8): nustatykite keletą autentifikavimo naudojant S / Key. bz # 2502
• sshd (8): skaityti atgal iš libcrypto RAND_, prieš atmetant privilegijas. Išvengiama sandboxing pažeidimų su BoringSSL.
• Sutvarkykite pavadinimų susidūrimą su sistemoje pateiktomis glob (3) funkcijomis. bz # 2463
• Pritaikyti Makefile naudoti ssh-keygen -A generuojant pagrindinius raktus. bz # 2459
• konfigūruoti: teisingai numatytąją vertę --with-ssh1 bz # 2457
• konfigūruokite: geriau aptinka _res simbolį bz # 2259
• palaikykite getrandom () "syscall" "Linux"

Kas naujo 7.1 versijoje:

• Sauga:
• sshd (8): "OpenSSH 7.0" buvo logiška klaida "PermitRootLogin = uždrausti-slaptažodis / be slaptažodžio", kuris, priklausomai nuo konfigūracijos laiko konfigūracijos, galėtų leisti slaptažodžio autentifikavimą root, tuo tarpu užkertant kelią kitoms autentiškumo formoms. Šią problemą pranešė Mantas Mikulenas.
• Klaidos pataisymai:
• ssh (1), sshd (8): pridėti suderinamumo sprendimus dėl FuTTY
• ssh (1), sshd (8): sutvarkykite WinSCP suderinamumo problemas
• Nustatykite ssh (1) ir ssh-keygen (1) atminties gedimus (dvigubai nemokamai, be neišsamios atminties ir tt). Pranešė Mateusz Kocielski.