OpenSSH on vapaasti hajautettu ja avoimen lähdekoodin ohjelmistoprojekti, kirjasto- ja komentoriviohjelma, joka toimii GNU / Linux-käyttöjärjestelmän taustalla ja joka suojaa koko verkkoasi tunkeilijoilta ja hyökkääjiltä. Se on SSH (Secure Shell) -sovelluksen avoimen lähdekoodin versio, joka on erityisesti suunniteltu
Ominaisuudet yhdellä silmäyksellä
OpenSSH on avoimen lähdekoodin projekti, joka on jaettu vapaalla lisenssillä. Se tarjoaa vahvan todentamisen, joka perustuu julkisen avaimen, Kerberos-todennus- ja kertaluontoisen salasanan standardeihin, vahvaan AES-, Blowfish-, Arcfour- ja 3DES-algoritmeihin perustuvaan salaukseen. X11-välitys tukee koko X Window System -liikennettä sekä AFS: ää ja Kerberos lipun kulku.
Lisäksi ohjelmistotoimintojen porttitoimitustuki salaamalla kanavat vanhoihin protokolliin, tietojen pakkaustukeen, agentin edelleenlähetyskäyttöön SSO-todennusstandardin ja SFTP (Secure FTP) -palvelimen ja asiakastuen avulla joko SSH2- tai SSH1-protokollia.
Toinen mielenkiintoinen piirre on yhteentoimivuus, mikä tarkoittaa, että projekti noudattaa alkuperäisen SSH (Secure Shell) -protokollan versioita 1.3, 1.5 ja 2.0. Asennuksen jälkeen OpenSSH korvaa automaattisesti tavalliset FTP-, Telnet-, RCP- ja rlogin-ohjelmat turvallisilla versioilla, kuten SFTP, SCP ja SSH.
Kannen alla, saatavuus ja tuetut käyttöjärjestelmät
OpenSSH-projekti on kirjoitettu kokonaan C-ohjelmointikielellä. Se koostui pääasiallisesta SSH-toteutuksesta ja SSH-demosta, joka toimii taustalla. Ohjelmistoja levitetään pääasiassa yleislähteiden arkistona, joka toimii kaikilla GNU / Linux-käyttöjärjestelmillä sekä 32- että 64-bittisissä arkkitehtuureissa.
Portable OpenSSH
OpenSSH-protokollan kannettava versio on myös ladattavissa ilmaiseksi Softowareen, nimeltään Portable OpenSSH. Tämä on avoimen lähdekoodin toteutus SSH: n version 1 ja SSH: n version 2 protokollille Linux-, BSD- ja Solaris-käyttöjärjestelmille.
Uutta strong> tässä versiossa:
- Mahdolliset yhteensopimattomat muutokset:
- Tämä julkaisu sisältää useita muutoksia, jotka voivat vaikuttaa olemassa oleviin kokoonpanoihin:
- Tämä julkaisu poistaa SSH v.1 -protokollan palvelintuen.
- ssh (1): Poista 3des-cbc asiakkaan oletushakemuksesta. 64-bittiset salasanat eivät ole turvallisia vuonna 2016, emmekä halua odottaa, kunnes SWEET32-hyökkäykset laajennetaan SSH: hen. Koska 3des-cbc oli SSH: n RFC: ssä ainoa pakollinen salaus, tämä voi aiheuttaa ongelmia vanhempien laitteiden yhdistämisessä oletusasetusten avulla, mutta on erittäin todennäköistä, että tällaiset laitteet tarvitsevat jo nyt nimenomaisen määrityksen avainvaihto- ja pääkäyttäjäalgoritmeille. sshd (8): Poista tuen ennaltavalidointikompressiota varten. Pöytäkirjan alussa tapahtuva pakkaaminen näytti kohtuulliselta 1990-luvulla, mutta tänään se on selvästi huono ajatus sekä salaustekniikasta (esim. Moninkertaiset kompression orakkipistoolit TLS: ssä) että hyökkäyspinnalla. Ennakkomuotoinen pakkaustuki on oletusarvoisesti poistettu käytöstä yli 10 vuotta. Tuki jää asiakkaalle. ssh-agentti kieltäytyy lataamasta PKCS # 11 -moduulia oletusarvoisesti luotettujen polkujen sallittujen luettelojen ulkopuolelle. Valitun polun luettelo voidaan määritellä ajon aikana.
- sshd (8): Kun pakko-komento näkyy sekä sertifikaatissa että valtuutetuilla avaimilla / periaatteilla command = restriction, sshd kieltäytyy hyväksymästä varmentaa, elleivät ne ole identtisiä. Edellisen (dokumentoidun) käyttäytymisen, jolla todistuksen pakko-komento ohittaa toisen, voi olla vähän hämmentävä ja virheellinen. sshd (8): Poista UseLogin-konfigurointidirektiivi ja tuki käyttäjätunnuksen / bin / login hallintaan.
- Muutokset OpenSSH: n 7.3 jälkeen:
- Suojaus:
- ssh-agentti (1): Kieltäytyy nyt lataamasta PKCS # 11 -moduuleita luotettavien sallittujen luettelon ulkopuolella olevilta poluilta (ajoaika konfiguroitavissa). Moduulien lataamista koskevat pyynnöt voitaisiin siirtää asiamiehen välityksellä ja hyökkääjä voisi yrittää ladata vihamielisen PKCS # 11 -moduulin eteenpäin lähetetyn agentin kanavalle: PKCS # 11 -moduulit ovat jaettuja kirjastoja, joten tämä johtaisi koodin suorittamiseen ssh: n - agentti, jos hyökkääjällä on ohjattu siirretty agentti-liitäntä (sshd-palvelimen käynnissä olevassa isännässä) ja kyky kirjoittaa isäntäkoneen käynnissä olevan ssh-agentin tiedostojärjestelmään (yleensä ssh-asiakkaan käynnissä oleva isäntä). Raportoi Project Zero Jann Hornilta.
- sshd (8): Kun etuoikeuden erottaminen on poistettu käytöstä, eteenpäin lähettämät Unix-verkkotunnukset luodaan sshd: llä (8), jolla on oikeudet "root" -toiminnon sijaan todennettu käyttäjä. Tämä julkaisu kieltää Unix-verkkotunnuksen välityspalvelun, kun etuoikeuden erottaminen on poistettu käytöstä (Etuoikeuserotus on otettu käyttöön oletuksena 14 vuoden ajan). Raportoi Project Zero Jann Hornilta.
- sshd (8): Vältä isännän yksityisen avainmateriaalin teoreettista vuotamista etuoikeutetun lapsiprosessin kautta realloc () -näppäimellä lukemalla avaimia. Normaalikokoisille avaimille ei ole havaittavissa tällaista vuotoa, eikä myöskään lapsiin kohdistuva vuoto tekisi suoraan avainmateriaalia haavoittuville käyttäjille. Raportoi Project Zero Jann Hornilta.
- sshd (8): Ennakointitoimintatyökalun käyttämää jaettua muistihallintaohjelmaa varten oli joitain optimointikääntäjät, jotka voisivat vetää ne pois. Lisäksi tämä muistienhallinta oli virheellisesti saavutettavissa, kun ennalta tunnistetiedoston pakkaus poistettiin käytöstä. Tämä voisi mahdollisesti sallia hyökkäykset etuoikeutetun valvontaprosessin aikana sandboxed-etuoikeuden erottamisprosessista (jälkimmäisen kompromissi vaaditaan ensin). Tämä julkaisu poistaa tuen ennaltavalidointikompressiota sshd: ltä (8). Raportoi Guido Vranken Stackin epävakaa optimointitunnistustyökalu (http://css.csail.mit.edu/stack/)
- sshd (8): Korjaa palvelunestohyökkäys, jossa hyökkääjä, joka lähettää useita KEXINIT-viestejä, voi kuluttaa jopa 128 Mt / yhteys. Ilmoittanut Shi Lei Gear Teamista, Qihoo 360.
- sshd (8): Vahvista AllowUser- ja DenyUsers-ohjeiden osoitealueet määritysten latausaikana ja kieltäydy hyväksymästä virheellisiä. Aiemmin oli mahdollista määritellä virheelliset CIDR-osoitealueet (esim. User@127.1.2.3/55), ja ne vastaisivat aina, mikä todennäköisesti johtaisi siihen, että käyttöoikeus ei ole tarkoitettu. Raportoi Laurence Parry.
- Uudet ominaisuudet:
- ssh (1): Lisää välityspalvelimen multipleksointitila ssh: lle (1), jonka innoittamana on Simon Tathamin PuTTY -versio. Tämä mahdollistaa multipleksointiasiakkaan kommunikoinnin isäntäprosessin kanssa käyttäen SSH-paketin osajoukkoa ja kanavan protokollaa Unix-verkkotunnuksen kautta, jolloin pääprosessi toimii välityspalvelimena, joka kääntää kanava-ID: t. Tämä mahdollistaa multipleksointitilan suorittamisen järjestelmät, joilta puuttuu tiedosto-kuvaaja (nykyinen multipleksointikoodi) ja mahdollisesti yhdessä Unix-verkkotunnuksen välityksen kanssa asiakkaan ja multipleksoinnin master-prosessin kanssa eri koneissa. Multiplexing proxy -toimintoa voidaan kutsua käyttämällä "ssh -O proxy ..."
- sshd (8): Lisää sshd_config DisableForwarding -toiminto, joka poistaa X11-, agentti-, TCP-, tunneli- ja Unix-verkkotunnuksen välityspalvelun käytöstä sekä mitä tahansa muuta, jota voisimme toteuttaa tulevaisuudessa. Kuten "rajoittaa" valtuutettu_keys-lippua, sen on tarkoitus olla yksinkertainen ja tulevaisuudensuojain tapa rajoittaa tiliä.
- sshd (8), ssh (1): Tuki "curve25519-sha256" avaimenvaihtomenetelmä. Tämä on sama kuin tällä hetkellä tuettu menetelmä, jonka nimi on & quot; curve25519-sha256@libssh.org & quot ;.
- sshd (8): Paranna SIGHUPin käsittelyä tarkistamalla, onko sshd jo demonisoitu käynnistettäessä ja jättäen soiton diemoniin (3), jos se on. Tämä varmistaa, että sshd (8): n SIGHUP-uudelleenkäynnistys säilyttää saman prosessin tunnuksen kuin alkuperäinen toteutus. sshd (8) myös purkaa PidFilen ennen SIGHUP-uudelleenkäynnistystä ja luo sen uudelleen onnistuneen uudelleenkäynnistyksen jälkeen sen sijaan, että jäisi pysyvä tiedosto konfigurointivirheen tapauksessa. BZ # 2641
- sshd (8): Salli ClientAliveInterval ja ClientAliveCountMax -direktiivit näkyviin sshd_config Match -lohkoissa.
- sshd (8): Lisää% -kohteita valtuutettuunPrincipalsCommandiin vastaamaan niitä, joita valtuutettuKeysCommand tukee (avain, avainlaji, sormenjälki jne.) ja muutama tarjota tarjotun todistuksen sisältöä.
- Lisätty regressiotestit merkkijonon hakuun, osoiteosoitteisiin ja merkkijonoihin.
- Parannettiin avaimen vaihto-anturin valjaita.
- Bugikorjauksia:
- ssh (1): Salli IdentityFile ladata ja käyttää varmennetta, jolla ei ole vastaavaa paljasta julkista avainta. bz # 2617 todistus id_rsa-cert.pub (ja ei id_rsa.pub).
- ssh (1): Korjaa julkisen avaimen todennus, kun useampi todennus on käytössä ja publickey ei ole vain ensimmäinen menetelmä yritetty. BZ # 2642
- regressi: Anna PuTTY-interop testit toimimaan valvomatta. BZ # 2639
- ssh-agentti (1), ssh (1): parantaa raportointia, kun yritetään ladata avaimia PKCS # 11 -koodista, joissa on vähemmän hyödyttömiä lokiviestejä ja tarkempia virheviesteissä. BZ # 2610
- ssh (1): Kun reititetään ControlMaster-yhteydet, älä saastuta stderr-arvoa, kun LogLevel = hiljainen.
- sftp (1): On ^ Z odottaa, että ssh (1) keskeyttää ennen sftp (1) keskeyttämistä varmistaakseen, että ssh (1) palauttaa päätemoodin oikein, jos se keskeytetään salasanan aikana.
- ssh (1): Vältä varattu-odota, kun ssh (1) on jäädytetty salasanapyynnön aikana.
- ssh (1), sshd (8): Ilmoita väärin virheiden aikana lähetettyjen ext-info-viestien lähettämisestä.
- sshd (8): Korjaa NULL-deref crash, jos sshd (8) sai uuden sekvenssin NEWKEYS viestin.
- sshd (8): Virheellinen luettelo tuetuista allekirjoitusalgoritmeista, jotka on lähetetty palvelin-sig-algs -laajennuksessa. BZ # 2547
- sshd (8): Korjaa sähköpostiviestin lähettäminen, jos privsep on poistettu käytöstä.
- sshd (8): tarkennetaan tarkemmin todentamisessa käytettävien etuoikeuserotusmonitorien odotetut tilaukset ja sallitaan vain, kun niiden todennusmenetelmät ovat käytössä kokoonpanossa
- sshd (8): Korjaa uninitialised optlen getsockopt () -puhelimeen; harmittavasti Unix / BSD: lle, mutta Cygwin voi mahdollisesti kaatua.
- Korjaa virheellisiä positiivisia raportteja, joita explicit_bzero (3) aiheuttaa, koska sitä ei tunnisteta muistin alustimeksi, kun se on koottu -fsanitize-muistiin. sshd_config (5): Käytä 2001: db8 :: / 32, virallista IPv6-aliverkkoa kokoonpanoesimerkkeihin.
- siirrettävyys:
- Turkkilaisille alueille määritellyissä ympäristöissä palaa C / POSIX-tilaan, jotta vältettäisiin virheiden määrittämisessä esiintyvät virheet, jotka johtuvat kyseisen maan paikallisen kirjaimen "i" ja "I" käsittelystä. BZ # 2643
- sftp-server (8), ssh-agentti (1): Deny ptrace OS X: ssä ptrace (PT_DENY_ATTACH, ..)
- ssh (1), sshd (8): Poista AES-CTR-salakirjoitukset vanhalla (~ 0.9.8) OpenSSL: llä.
- Kiinnitä kokoelma libcryptoon, joka on koottu ilman RIPEMD160-tukea.
- contrib: Lisää gnome-ssh-askpass3 GTK + 3-tuki. bz # 2640 sshd (8): Paranna PRNG-reseediä etuoikeuserotuksen ja voiman libcrypto-mallin avulla saadaksesi laadukkaita siemeniä ennen chroot- tai hiekkalaatikkoa.
- Kaikki: Testaa eksplisiittisesti rikkoutuneita strnvis-arvoja. NetBSD lisäsi strnvisin ja valitettavasti teki sen yhteensopimattomaksi olemassa olevan OpenBSD: n ja Linuxin libbsdin kanssa (entinen on ollut olemassa yli kymmenen vuotta). Yritä tunnistaa tämä sotku ja olettaa vain turvallisen vaihtoehdon, jos risteytämme.
Uutta strong> versiona:
- Mahdolliset yhteensopimattomat muutokset:
- Tämä julkaisu sisältää useita muutoksia, jotka voivat vaikuttaa olemassa oleviin kokoonpanoihin:
- Tämä julkaisu poistaa SSH v.1 -protokollan palvelintuen.
- ssh (1): Poista 3des-cbc asiakkaan oletushakemuksesta. 64-bittiset salasanat eivät ole turvallisia vuonna 2016, emmekä halua odottaa, kunnes SWEET32-hyökkäykset laajennetaan SSH: hen. Koska 3des-cbc oli SSH: n RFC: ssä ainoa pakollinen salaus, tämä voi aiheuttaa ongelmia vanhempien laitteiden yhdistämisessä oletusasetusten avulla, mutta on erittäin todennäköistä, että tällaiset laitteet tarvitsevat jo nyt nimenomaisen määrityksen avainvaihto- ja pääkäyttäjäalgoritmeille. sshd (8): Poista tuen ennaltavalidointikompressiota varten. Pöytäkirjan alussa tapahtuva pakkaaminen näytti kohtuulliselta 1990-luvulla, mutta tänään se on selvästi huono ajatus sekä salaustekniikasta (esim. Moninkertaiset kompression orakkipistoolit TLS: ssä) että hyökkäyspinnalla. Ennakkomuotoinen pakkaustuki on oletusarvoisesti poistettu käytöstä yli 10 vuotta. Tuki jää asiakkaalle. ssh-agentti kieltäytyy lataamasta PKCS # 11 -moduulia oletusarvoisesti luotettujen polkujen sallittujen luettelojen ulkopuolelle. Valitun polun luettelo voidaan määritellä ajon aikana.
- sshd (8): Kun pakko-komento näkyy sekä sertifikaatissa että valtuutetuilla avaimilla / periaatteilla command = restriction, sshd kieltäytyy hyväksymästä varmentaa, elleivät ne ole identtisiä. Edellisen (dokumentoidun) käyttäytymisen, jolla todistuksen pakko-komento ohittaa toisen, voi olla vähän hämmentävä ja virheellinen. sshd (8): Poista UseLogin-konfigurointidirektiivi ja tuki käyttäjätunnuksen / bin / login hallintaan.
- Muutokset OpenSSH: n 7.3 jälkeen:
- Suojaus:
- ssh-agentti (1): Kieltäytyy nyt lataamasta PKCS # 11 -moduuleita luotettavien sallittujen luettelon ulkopuolella olevilta poluilta (ajoaika konfiguroitavissa). Moduulien lataamista koskevat pyynnöt voitaisiin siirtää asiamiehen välityksellä ja hyökkääjä voisi yrittää ladata vihamielisen PKCS # 11 -moduulin eteenpäin lähetetyn agentin kanavalle: PKCS # 11 -moduulit ovat jaettuja kirjastoja, joten tämä johtaisi koodin suorittamiseen ssh: n - agentti, jos hyökkääjällä on ohjattu siirretty agentti-liitäntä (sshd-palvelimen käynnissä olevassa isännässä) ja kyky kirjoittaa isäntäkoneen käynnissä olevan ssh-agentin tiedostojärjestelmään (yleensä ssh-asiakkaan käynnissä oleva isäntä). Raportoi Project Zero Jann Hornilta.
- sshd (8): Kun etuoikeuden erottaminen on poistettu käytöstä, eteenpäin lähettämät Unix-verkkotunnukset luodaan sshd: llä (8), jolla on oikeudet "root" -toiminnon sijaan todennettu käyttäjä. Tämä julkaisu kieltää Unix-verkkotunnuksen välityspalvelun, kun etuoikeuden erottaminen on poistettu käytöstä (Etuoikeuserotus on otettu käyttöön oletuksena 14 vuoden ajan). Raportoi Project Zero Jann Hornilta.
- sshd (8): Vältä isännän yksityisen avainmateriaalin teoreettista vuotamista etuoikeutetun lapsiprosessin kautta realloc () -näppäimellä lukemalla avaimia. Normaalikokoisille avaimille ei ole havaittavissa tällaista vuotoa, eikä myöskään lapsiin kohdistuva vuoto tekisi suoraan avainmateriaalia haavoittuville käyttäjille. Raportoi Project Zero Jann Hornilta.
- sshd (8): Ennakointitoimintatyökalun käyttämää jaettua muistihallintaohjelmaa varten oli joitain optimointikääntäjät, jotka voisivat vetää ne pois. Lisäksi tämä muistienhallinta oli virheellisesti saavutettavissa, kun ennalta tunnistetiedoston pakkaus poistettiin käytöstä. Tämä voisi mahdollisesti sallia hyökkäykset etuoikeutetun valvontaprosessin aikana sandboxed-etuoikeuden erottamisprosessista (jälkimmäisen kompromissi vaaditaan ensin). Tämä julkaisu poistaa tuen ennaltavalidointikompressiota sshd: ltä (8). Raportoi Guido Vranken Stackin epävakaa optimointitunnistustyökalu (http://css.csail.mit.edu/stack/)
- sshd (8): Korjaa palvelunestohyökkäys, jossa hyökkääjä, joka lähettää useita KEXINIT-viestejä, voi kuluttaa jopa 128 Mt / yhteys. Ilmoittanut Shi Lei Gear Teamista, Qihoo 360.
- sshd (8): Vahvista AllowUser- ja DenyUsers-ohjeiden osoitealueet määritysten latausaikana ja kieltäydy hyväksymästä virheellisiä. Aiemmin oli mahdollista määritellä virheelliset CIDR-osoitealueet (esim. User@127.1.2.3/55), ja ne vastaisivat aina, mikä todennäköisesti johtaisi siihen, että käyttöoikeus ei ole tarkoitettu. Raportoi Laurence Parry.
- Uudet ominaisuudet:
- ssh (1): Lisää välityspalvelimen multipleksointitila ssh: lle (1), jonka innoittamana on Simon Tathamin PuTTY -versio. Tämä mahdollistaa multipleksointiasiakkaan kommunikoinnin isäntäprosessin kanssa käyttäen SSH-paketin osajoukkoa ja kanavan protokollaa Unix-verkkotunnuksen kautta, jolloin pääprosessi toimii välityspalvelimena, joka kääntää kanava-ID: t. Tämä mahdollistaa multipleksointitilan suorittamisen järjestelmät, joilta puuttuu tiedosto-kuvaaja (nykyinen multipleksointikoodi) ja mahdollisesti yhdessä Unix-verkkotunnuksen välityksen kanssa asiakkaan ja multipleksoinnin master-prosessin kanssa eri koneissa. Multiplexing proxy -toimintoa voidaan kutsua käyttämällä "ssh -O proxy ..."
- sshd (8): Lisää sshd_config DisableForwarding -toiminto, joka poistaa X11-, agentti-, TCP-, tunneli- ja Unix-verkkotunnuksen välityspalvelun käytöstä sekä mitä tahansa muuta, jota voisimme toteuttaa tulevaisuudessa. Kuten "rajoittaa" valtuutettu_keys-lippua, sen on tarkoitus olla yksinkertainen ja tulevaisuudensuojain tapa rajoittaa tiliä.
- sshd (8), ssh (1): Tuki "curve25519-sha256" avaimenvaihtomenetelmä. Tämä on sama kuin tällä hetkellä tuettu menetelmä, jonka nimi on & quot; curve25519-sha256@libssh.org & quot ;.
- sshd (8): Paranna SIGHUPin käsittelyä tarkistamalla, onko sshd jo demonisoitu käynnistettäessä ja jättäen soiton diemoniin (3), jos se on. Tämä varmistaa, että sshd (8): n SIGHUP-uudelleenkäynnistys säilyttää saman prosessin tunnuksen kuin alkuperäinen toteutus. sshd (8) myös purkaa PidFilen ennen SIGHUP-uudelleenkäynnistystä ja luo sen uudelleen onnistuneen uudelleenkäynnistyksen jälkeen sen sijaan, että jäisi pysyvä tiedosto konfigurointivirheen tapauksessa. BZ # 2641
- sshd (8): Salli ClientAliveInterval ja ClientAliveCountMax -direktiivit näkyviin sshd_config Match -lohkoissa.
- sshd (8): Lisää% -kohteita valtuutettuunPrincipalsCommandiin vastaamaan niitä, joita valtuutettuKeysCommand tukee (avain, avainlaji, sormenjälki jne.) ja muutama tarjota tarjotun todistuksen sisältöä.
- Lisätty regressiotestit merkkijonon hakuun, osoiteosoitteisiin ja merkkijonoihin.
- Parannettiin avaimen vaihto-anturin valjaita.
- Bugikorjauksia:
- ssh (1): Salli IdentityFile ladata ja käyttää varmennetta, jolla ei ole vastaavaa paljasta julkista avainta. bz # 2617 todistus id_rsa-cert.pub (ja ei id_rsa.pub).
- ssh (1): Korjaa julkisen avaimen todennus, kun useampi todennus on käytössä ja publickey ei ole vain ensimmäinen menetelmä yritetty. BZ # 2642
- regressi: Anna PuTTY-interop testit toimimaan valvomatta. BZ # 2639
- ssh-agentti (1), ssh (1): parantaa raportointia, kun yritetään ladata avaimia PKCS # 11 -koodista, joissa on vähemmän hyödyttömiä lokiviestejä ja tarkempia virheviesteissä. BZ # 2610
- ssh (1): Kun reititetään ControlMaster-yhteydet, älä saastuta stderr-arvoa, kun LogLevel = hiljainen.
- sftp (1): On ^ Z odottaa, että ssh (1) keskeyttää ennen sftp (1) keskeyttämistä varmistaakseen, että ssh (1) palauttaa päätemoodin oikein, jos se keskeytetään salasanan aikana.
- ssh (1): Vältä varattu-odota, kun ssh (1) on jäädytetty salasanapyynnön aikana.
- ssh (1), sshd (8): Ilmoita väärin virheiden aikana lähetettyjen ext-info-viestien lähettämisestä.
- sshd (8): Korjaa NULL-deref crash, jos sshd (8) sai uuden sekvenssin NEWKEYS viestin.
- sshd (8): Virheellinen luettelo tuetuista allekirjoitusalgoritmeista, jotka on lähetetty palvelin-sig-algs -laajennuksessa. BZ # 2547
- sshd (8): Korjaa sähköpostiviestin lähettäminen, jos privsep on poistettu käytöstä.
- sshd (8): tarkennetaan tarkemmin todentamisessa käytettävien etuoikeuserotusmonitorien odotetut tilaukset ja sallitaan vain, kun niiden todennusmenetelmät ovat käytössä kokoonpanossa
- sshd (8): Korjaa uninitialised optlen getsockopt () -puhelimeen; harmittavasti Unix / BSD: lle, mutta Cygwin voi mahdollisesti kaatua.
- Korjaa virheellisiä positiivisia raportteja, joita explicit_bzero (3) aiheuttaa, koska sitä ei tunnisteta muistin alustimeksi, kun se on koottu -fsanitize-muistiin. sshd_config (5): Käytä 2001: db8 :: / 32, virallista IPv6-aliverkkoa kokoonpanoesimerkkeihin.
- siirrettävyys:
- Turkkilaisille alueille määritellyissä ympäristöissä palaa C / POSIX-tilaan, jotta vältettäisiin virheiden määrittämisessä esiintyvät virheet, jotka johtuvat kyseisen maan paikallisen kirjaimen "i" ja "I" käsittelystä. BZ # 2643
- sftp-server (8), ssh-agentti (1): Deny ptrace OS X: ssä ptrace (PT_DENY_ATTACH, ..)
- ssh (1), sshd (8): Poista AES-CTR-salakirjoitukset vanhalla (~ 0.9.8) OpenSSL: llä.
- Kiinnitä kokoelma libcryptoon, joka on koottu ilman RIPEMD160-tukea.
- contrib: Lisää gnome-ssh-askpass3 GTK + 3-tuki. bz # 2640 sshd (8): Paranna PRNG-reseediä etuoikeuserotuksen ja voiman libcrypto-mallin avulla saadaksesi laadukkaita siemeniä ennen chroot- tai hiekkalaatikkoa.
- Kaikki: Testaa eksplisiittisesti rikkoutuneita strnvis-arvoja. NetBSD lisäsi strnvisin ja valitettavasti teki sen yhteensopimattomaksi olemassa olevan OpenBSD: n ja Linuxin libbsdin kanssa (entinen on ollut olemassa yli kymmenen vuotta). Yritä tunnistaa tämä sotku ja olettaa vain turvallisen vaihtoehdon, jos risteytämme.
Uutta strong> versio 7.4:
- Mahdolliset yhteensopimattomat muutokset:
- Tämä julkaisu sisältää useita muutoksia, jotka voivat vaikuttaa olemassa oleviin kokoonpanoihin:
- Tämä julkaisu poistaa SSH v.1 -protokollan palvelintuen.
- ssh (1): Poista 3des-cbc asiakkaan oletushakemuksesta. 64-bittiset salasanat eivät ole turvallisia vuonna 2016, emmekä halua odottaa, kunnes SWEET32-hyökkäykset laajennetaan SSH: hen. Koska 3des-cbc oli SSH: n RFC: ssä ainoa pakollinen salaus, tämä voi aiheuttaa ongelmia vanhempien laitteiden yhdistämisessä oletusasetusten avulla, mutta on erittäin todennäköistä, että tällaiset laitteet tarvitsevat jo nyt nimenomaisen määrityksen avainvaihto- ja pääkäyttäjäalgoritmeille. sshd (8): Poista tuen ennaltavalidointikompressiota varten. Pöytäkirjan alussa tapahtuva pakkaaminen näytti kohtuulliselta 1990-luvulla, mutta tänään se on selvästi huono ajatus sekä salaustekniikasta (esim. Moninkertaiset kompression orakkipistoolit TLS: ssä) että hyökkäyspinnalla. Ennakkomuotoinen pakkaustuki on oletusarvoisesti poistettu käytöstä yli 10 vuotta. Tuki jää asiakkaalle. ssh-agentti kieltäytyy lataamasta PKCS # 11 -moduulia oletusarvoisesti luotettujen polkujen sallittujen luettelojen ulkopuolelle. Valitun polun luettelo voidaan määritellä ajon aikana.
- sshd (8): Kun pakko-komento näkyy sekä sertifikaatissa että valtuutetuilla avaimilla / periaatteilla command = restriction, sshd kieltäytyy hyväksymästä varmentaa, elleivät ne ole identtisiä. Edellisen (dokumentoidun) käyttäytymisen, jolla todistuksen pakko-komento ohittaa toisen, voi olla vähän hämmentävä ja virheellinen. sshd (8): Poista UseLogin-konfigurointidirektiivi ja tuki käyttäjätunnuksen / bin / login hallintaan.
- Muutokset OpenSSH: n 7.3 jälkeen:
- Suojaus:
- ssh-agentti (1): Kieltäytyy nyt lataamasta PKCS # 11 -moduuleita luotettavien sallittujen luettelon ulkopuolella olevilta poluilta (ajoaika konfiguroitavissa). Moduulien lataamista koskevat pyynnöt voitaisiin siirtää asiamiehen välityksellä ja hyökkääjä voisi yrittää ladata vihamielisen PKCS # 11 -moduulin eteenpäin lähetetyn agentin kanavalle: PKCS # 11 -moduulit ovat jaettuja kirjastoja, joten tämä johtaisi koodin suorittamiseen ssh: n - agentti, jos hyökkääjällä on ohjattu siirretty agentti-liitäntä (sshd-palvelimen käynnissä olevassa isännässä) ja kyky kirjoittaa isäntäkoneen käynnissä olevan ssh-agentin tiedostojärjestelmään (yleensä ssh-asiakkaan käynnissä oleva isäntä). Raportoi Project Zero Jann Hornilta.
- sshd (8): Kun etuoikeuden erottaminen on poistettu käytöstä, eteenpäin lähettämät Unix-verkkotunnukset luodaan sshd: llä (8), jolla on oikeudet "root" -toiminnon sijaan todennettu käyttäjä. Tämä julkaisu kieltää Unix-verkkotunnuksen välityspalvelun, kun etuoikeuden erottaminen on poistettu käytöstä (Etuoikeuserotus on otettu käyttöön oletuksena 14 vuoden ajan). Raportoi Project Zero Jann Hornilta.
- sshd (8): Vältä isännän yksityisen avainmateriaalin teoreettista vuotamista etuoikeutetun lapsiprosessin kautta realloc () -näppäimellä lukemalla avaimia. Normaalikokoisille avaimille ei ole havaittavissa tällaista vuotoa, eikä myöskään lapsiin kohdistuva vuoto tekisi suoraan avainmateriaalia haavoittuville käyttäjille. Raportoi Project Zero Jann Hornilta.
- sshd (8): Ennakointitoimintatyökalun käyttämää jaettua muistihallintaohjelmaa varten oli joitain optimointikääntäjät, jotka voisivat vetää ne pois. Lisäksi tämä muistienhallinta oli virheellisesti saavutettavissa, kun ennalta tunnistetiedoston pakkaus poistettiin käytöstä. Tämä voisi mahdollisesti sallia hyökkäykset etuoikeutetun valvontaprosessin aikana sandboxed-etuoikeuden erottamisprosessista (jälkimmäisen kompromissi vaaditaan ensin). Tämä julkaisu poistaa tuen ennaltavalidointikompressiota sshd: ltä (8). Raportoi Guido Vranken Stackin epävakaa optimointitunnistustyökalu (http://css.csail.mit.edu/stack/)
- sshd (8): Korjaa palvelunestohyökkäys, jossa hyökkääjä, joka lähettää useita KEXINIT-viestejä, voi kuluttaa jopa 128 Mt / yhteys. Ilmoittanut Shi Lei Gear Teamista, Qihoo 360.
- sshd (8): Vahvista AllowUser- ja DenyUsers-ohjeiden osoitealueet määritysten latausaikana ja kieltäydy hyväksymästä virheellisiä. Aiemmin oli mahdollista määritellä virheelliset CIDR-osoitealueet (esim. User@127.1.2.3/55), ja ne vastaisivat aina, mikä todennäköisesti johtaisi siihen, että käyttöoikeus ei ole tarkoitettu. Raportoi Laurence Parry.
- Uudet ominaisuudet:
- ssh (1): Lisää välityspalvelimen multipleksointitila ssh: lle (1), jonka innoittamana on Simon Tathamin PuTTY -versio. Tämä mahdollistaa multipleksointiasiakkaan kommunikoinnin isäntäprosessin kanssa käyttäen SSH-paketin osajoukkoa ja kanavan protokollaa Unix-verkkotunnuksen kautta, jolloin pääprosessi toimii välityspalvelimena, joka kääntää kanava-ID: t. Tämä mahdollistaa multipleksointitilan suorittamisen järjestelmät, joilta puuttuu tiedosto-kuvaaja (nykyinen multipleksointikoodi) ja mahdollisesti yhdessä Unix-verkkotunnuksen välityksen kanssa asiakkaan ja multipleksoinnin master-prosessin kanssa eri koneissa. Multiplexing välityspalvelimen tilaa voidaan kutsua käyttämällä "ssh -O proxy ..."
- sshd (8): Lisää sshd_config DisableForwarding -toiminto, joka poistaa X11-, agentti-, TCP-, tunneli- ja Unix-verkkotunnuksen välityspalvelun käytöstä sekä mitä tahansa muuta, jota voisimme toteuttaa tulevaisuudessa. Kuten "rajoittaa" valtuutettu_keys-lippua, sen on tarkoitus olla yksinkertainen ja tulevaisuudensuojain tapa rajoittaa tiliä.
- sshd (8), ssh (1): Tukee "curve25519-sha256" -näppäimen vaihtamismenetelmää. Tämä on sama kuin tällä hetkellä tuettu menetelmä nimeltään "curve25519-sha256@libssh.org".
- sshd (8): Paranna SIGHUPin käsittelyä tarkistamalla, onko sshd jo demonisoitu käynnistettäessä ja jättäen soiton diemoniin (3), jos se on. Tämä varmistaa, että sshd (8): n SIGHUP-uudelleenkäynnistys säilyttää saman prosessin tunnuksen kuin alkuperäinen toteutus. sshd (8) myös purkaa PidFilen ennen SIGHUP-uudelleenkäynnistystä ja luo sen uudelleen onnistuneen uudelleenkäynnistyksen jälkeen sen sijaan, että jäisi pysyvä tiedosto konfigurointivirheen tapauksessa. BZ # 2641
- sshd (8): Salli ClientAliveInterval ja ClientAliveCountMax -direktiivit näkyviin sshd_config Match -lohkoissa.
- sshd (8): Lisää% -kohteita valtuutettuunPrincipalsCommandiin vastaamaan niitä, joita valtuutettuKeysCommand tukee (avain, avainlaji, sormenjälki jne.) ja muutama tarjota tarjotun todistuksen sisältöä.
- Lisätty regressiotestit merkkijonon hakuun, osoiteosoitteisiin ja merkkijonoihin.
- Parannettiin avaimen vaihto-anturin valjaita.
- Bugikorjauksia:
- ssh (1): Salli IdentityFile ladata ja käyttää varmennetta, jolla ei ole vastaavaa paljasta julkista avainta. bz # 2617 todistus id_rsa-cert.pub (ja ei id_rsa.pub).
- ssh (1): Korjaa julkisen avaimen todennus, kun useampi todennus on käytössä ja publickey ei ole vain ensimmäinen menetelmä yritetty. BZ # 2642
- regressi: Anna PuTTY-interop testit toimimaan valvomatta. BZ # 2639
- ssh-agentti (1), ssh (1): parantaa raportointia, kun yritetään ladata avaimia PKCS # 11 -koodista, joissa on vähemmän hyödyttömiä lokiviestejä ja tarkempia virheviesteissä. BZ # 2610
- ssh (1): Kun reititetään ControlMaster-yhteydet, älä saastuta stderr-arvoa, kun LogLevel = hiljainen.
- sftp (1): On ^ Z odottaa, että ssh (1) keskeyttää ennen sftp (1) keskeyttämistä varmistaakseen, että ssh (1) palauttaa päätemoodin oikein, jos se keskeytetään salasanan aikana.
- ssh (1): Vältä varattu-odota, kun ssh (1) on jäädytetty salasanapyynnön aikana.
- ssh (1), sshd (8): Ilmoita väärin virheiden aikana lähetettyjen ext-info-viestien lähettämisestä.
- sshd (8): Korjaa NULL-deref crash, jos sshd (8) sai uuden sekvenssin NEWKEYS viestin.
- sshd (8): Virheellinen luettelo tuetuista allekirjoitusalgoritmeista, jotka on lähetetty palvelin-sig-algs -laajennuksessa. BZ # 2547
- sshd (8): Korjaa sähköpostiviestin lähettäminen, jos privsep on poistettu käytöstä.
- sshd (8): tarkennetaan tarkemmin todentamisessa käytettävien etuoikeuserotusmonitorien odotetut tilaukset ja sallitaan vain, kun niiden todennusmenetelmät ovat käytössä kokoonpanossa
- sshd (8): Korjaa uninitialised optlen getsockopt () -puhelimeen; harmittavasti Unix / BSD: lle, mutta Cygwin voi mahdollisesti kaatua.
- Korjaa virheellisiä positiivisia raportteja, joita explicit_bzero (3) aiheuttaa, koska sitä ei tunnisteta muistin alustimeksi, kun se on koottu -fsanitize-muistiin. sshd_config (5): Käytä 2001: db8 :: / 32, virallista IPv6-aliverkkoa kokoonpanoesimerkkeihin.
- siirrettävyys:
- Turkkilaisille alueille määritellyissä ympäristöissä palaa C / POSIX-tilaan, jotta vältettäisiin virheiden määrittämisessä esiintyvät virheet, jotka johtuvat kyseisen maan paikallisen kirjaimen "i" ja "I" käsittelystä. BZ # 2643
- sftp-server (8), ssh-agentti (1): Deny ptrace OS X: ssä ptrace (PT_DENY_ATTACH, ..)
- ssh (1), sshd (8): Poista AES-CTR-salakirjoitukset vanhalla (~ 0.9.8) OpenSSL: llä.
- Kiinnitä kokoelma libcryptoon, joka on koottu ilman RIPEMD160-tukea.
- contrib: Lisää gnome-ssh-askpass3 GTK + 3-tuki. bz # 2640 sshd (8): Paranna PRNG-reseediä etuoikeuserotuksen ja voiman libcrypto-mallin avulla saadaksesi laadukkaita siemeniä ennen chroot- tai hiekkalaatikkoa.
- Kaikki: Testaa eksplisiittisesti rikki strnvis. NetBSD lisäsi strnvisin ja valitettavasti teki sen yhteensopimattomaksi olemassa olevan OpenBSD: n ja Linuxin libbsdin kanssa (entinen on ollut olemassa yli kymmenen vuotta). Yritä tunnistaa tämä sotku ja olettaa vain turvallisen vaihtoehdon, jos risteytämme.
Uutta strong> versiossa 7.3:
- Suojaus:
- sshd (8): Vähennä potentiaalista palvelunestohyökkäystä järjestelmän krypta (3) -toimintoon sshd: n (8) kautta. Hyökkääjä voi lähettää erittäin pitkiä salasanoja, jotka aiheuttaisivat liiallista CPU: n käyttöä kryptissä (3). sshd (8) kieltäytyy hyväksymästä salasanan todennuspyyntöjä, joiden pituus on yli 1024 merkkiä. Tomas Kuthan (Oracle), Andres Rojas ja Javier Nieto raportoivat itsenäisesti.
- sshd (8): Vähennä ajoituksen eroja salasanatunnistuksessa, jota voidaan käyttää havaitsemaan pätevät virheellisiltä tilien nimiltä, kun pitkät salasanat on lähetetty ja tietyt salasanan hajautusalgoritmit ovat käytössä palvelimessa. CVE-2016-6210, jonka EddieEzra.Harari ilmoitti osoitteessa verint.com
- ssh (1), sshd (8): Korjaa havaittavissa oleva ajoituksen heikkous CBC-pehmusteiden oraklen vastamäärityksissä. Raportoivat Jean Paul Degabriele, Kenny Paterson, Torben Hansen ja Martin Albrecht. Huomaa, että CBC-salakirjoitukset on oletusarvoisesti poistettu käytöstä, ja ne sisältyvät vain vanhaan yhteensopivuuteen.
- ssh (1), sshd (8): Parannetaan MAC-vahvistuksen käyttöjärjestystä Encrypt-then-MAC (EtM) -tilan siirtämiseen MAC-algoritmeja MAC: n varmentamiseksi ennen salakirjoitustekstin salauksen purkamista. Tämä poistaa mahdollisuuden ajoituseroista vuotaa tosiasioita selkotekstistä, vaikka tällaista vuotamista ei ole havaittu. Raportoivat Jean Paul Degabriele, Kenny Paterson, Torben Hansen ja Martin Albrecht. sshd (8): (vain kannettava) Ohita PAM-ympäristö ja UseLogin = kyllä. Jos PAM on määritetty lukemaan käyttäjien määrittämät ympäristömuuttujat ja UseLogin = kyllä sshd_configissa, vihamielinen paikallinen käyttäjä voi hyökätä / bin / login LD_PRELOAD: n kautta tai vastaavia ympäristömuuttujia, jotka on asetettu PAM: n kautta. CVE-2015-8325, jonka on löytänyt Shayan Sadigh.
- Uudet ominaisuudet:
- ssh (1): Lisää ProxyJump-vaihtoehto ja vastaava -J komentorivin lippu sallimaan yksinkertaistetun suorien yhteyden yhden tai useamman SSH-bastion tai "hyppää isäntä" kautta.
- ssh (1): Lisää IdentityAgent-vaihtoehto, jonka avulla voit määritellä tietyn agentin pistorasiat sen sijaan, että hyväksyisit jonkin ympäristön. ssh (1): Anna ExitOnForwardFailure ja ClearAllForwardingsin valinnaisesti ohitettavia käyttäessäsi ssh-W: tä. BZ # 2577
- ssh (1), sshd (8): Toteuta tuki IUTF8-päätelaitteelle luonnoksen-sgtatham-secsh-iutf8-00 mukaisesti. ssh (1), sshd (8): Lisätä lisätukea kiinteille Diffie-Hellman 2K, 4K ja 8K-ryhmille luonnosta-irralla-ssh-kex-sha2-03.
- ssh-keygen (1), ssh (1), sshd (8): tukee SHA256- ja SHA512-RSA-allekirjoituksia varmenteissa; ssh (1): Lisää ssh_config (5) -tiedostojen sisällysluettelo.
- ssh (1): Salli UTF-8-merkkiä palvelimelta lähetetyissä ennakkohyväksynnän bannereissa. BZ # 2058
- Bugikorjauksia:
- ssh (1), sshd (8): Vähennä joidenkin suhteellisen yleisten protokollatapahtumien syslog-tasoa LOG_CRIT: stä. BZ # 2585
- sshd (8): hylkää AuthenticationMethods = "" kokoonpanoissa ja hyväksy AuthenticationMethods = jokin oletuskäyttäytymisestä, joka ei edellytä useampaa todennusta. BZ # 2398
- sshd (8): Poista vanhentunut ja harhaanjohtava "POSSIBLE BREAK-IN ATTEMPT!" viesti, kun eteenpäin ja käänteinen DNS ei täsmää. BZ # 2585
- ssh (1): Sulje ControlPersist-taustaprosessi stderr paitsi debug-tilassa tai kirjautumalla syslogiin. BZ # 1988
- misc: Tee PROTOCOL-kuvaus suoraan-streamlocal@openssh.com -kanavien avoimille viesteille sovitun koodin kanssa. BZ # 2529
- ssh (1): Deduplicate LocalForward ja RemoteForward merkinnät virheiden korjaamiseen, kun sekä ExitOnForwardFailure että hostname-kanonisaatio ovat käytössä. BZ # 2562
- sshd (8): Poista korvaus moduulista vanhentuneeseen "primes" -tiedostoon, joka oli vanhentunut vuonna 2001. bz # 2559.
- sshd_config (5): Korjattu UseDNS: n kuvaus: se vaikuttaa ssh-isäntänimen käsittelyyn authorized_keys, not known_hosts; bz # 2554 ssh (1): Korjaa todennus käyttämällä yksittäisiä varmennusavaimia asiamiehellä ilman vastaavia yksityisiä avaimia tiedostojärjestelmässä. BZ # 2550
- sshd (8): Lähetä ClientAliveInterval pings kun aikapohjainen RekeyLimit on asetettu; aiemmin pidätettyjä paketteja ei lähetetty. BZ # 2252
Uutta strong> versiossa 7.2:
- Suojaus:
- ssh (1), sshd (8): poista keskeneräinen ja käyttämättömästä verkkovierailukoodi (oli jo pakotettu käytöstä OpenSSH 7.1p2: ssä).
- ssh (1): poista epäluotettavan X11: n lähetyksen varastaminen luotettuun edelleenlähetykseen, kun X-palvelin poistaa SECURITY-laajennuksen käytöstä.
- ssh (1), sshd (8): kasvattaa diffie-hellman-ryhmäkeskittymää varten tuetun vähimmäiskalukokoa 2048 bittiin.
- sshd (8): pre-auth sandboxing on nyt käytössä oletuksena (aiemmat versiot sallivat sen uusille asennuksille sshd_configin kautta).
- Uudet ominaisuudet:
- kaikki: Lisää tukea RSA-allekirjoituksille käyttäen draft-rsa-dsa-sha2-256-03.txt ja draft-ssh-ext-info-04.txt perustuvia SHA-256/512-hajautusalgoritmeja.
- ssh (1): Lisää AddKeysToAgent-asiakasvaihtoehto, joka voidaan asettaa "kyllä", "ei", "kysyä" tai "vahvistaa" ja oletusarvoisesti "ei". Kun se on käytössä, yksityinen avain, jota käytetään todentamisen aikana, lisätään ssh-agenttiin, jos se on käynnissä (vahvistus on sallittu, jos se on asetettu vahvistamiseen).
- sshd (8): Lisää uusi sallitun_keys-vaihtoehto "rajoittaa", joka sisältää kaikki nykyiset ja tulevat avainrajoitukset (ei - - - edelleenlähetys jne.). Lisätä myös nykyisten rajoitusten sallivia versioita, esim. "no-pty" - & gt; "PTY". Tämä yksinkertaistaa tehtävää rajoitettujen avainten määrittämisessä ja varmistaa, että ne ovat mahdollisimman rajoitettuja riippumatta mahdollisista käyttöoikeuksista tulevaisuudessa. ssh (1): lisää ssh_config CertificateFile-vaihtoehto todellisten varmenteiden luetteloon. BZ # 2436
- ssh-keygen (1): ssh-keygen voi muuttaa avainkommenttiä kaikille tuetuille tiedostomuodoille.
- ssh-keygen (1): sormenjälkien ottaminen standardipäätteestä, esim. "ssh-keygen -lf -"
- ssh-keygen (1): sallivat useiden julkisten avainten sormenjälkien ottamisen tiedostossa, esim. "ssh-keygen -lf ~ / .ssh / authorized_keys" bz # 1319
- sshd (8): tuki "none" argumentiksi sshd_config Foreground ja ChrootDirectory. Hyödyllisiä sisällä Match-osia ohittaa globaalin oletusarvon. BZ # 2486
- ssh (1): paremmin käsittelemällä ankkuroituja FQDN: itä (esim. cvs.openbsd.org.) hostname-kanonisaatiossa - käsitellä niitä jo kanonisina ja poistaa jälkikäteen. ennen kuin ssh_config vastaa.
- Bugikorjauksia:
- sftp (1): olemassa olevat kohdehakemistot eivät saisi lopettaa rekursiivisia latauksia (regressiota openssh 6.8: ssä) bz # 2528
- ssh (1), sshd (8): lähetä SSH2_MSG_UNIMPLEMENTED vastauksia odottamattomia viestejä varten avainvaiheen aikana. BZ # 2949
- ssh (1): hylkää yritykset asettamaan ConnectionAttempts = 0, mikä ei ole järkevää ja aiheuttaa sen, että ssh tulostaa aloittamattoman pino-muuttujan. BZ # 2500
- ssh (1): Korjaa virheet, kun yrität muodostaa yhteyden kattaville IPv6-osoitteille, joissa isäntänimen kanonisaatio on käytössä.
- sshd_config (5): luettelo pari muuta vaihtoehtoa, joita voidaan käyttää Match-lohkoissa. BZ # 2489
- sshd (8): korjaa "PubkeyAcceptedKeyTypes + ..." Match-lohkon sisällä. ssh (1): laajenna tilde-merkkejä tiedostoille, jotka on siirretty -i-asetuksiin, ennen kuin tarkistetaan, onko tunnistetiedosto olemassa. Välttää sekaannusta tapauksissa, joissa kuori ei laajene (esim. "-i ~ / file" vs. "-i ~ / file"). BZ # 2481
- ssh (1): älä suorita "execution" -komennolla shell-komentoa, joka suorittaa config-tiedostossa "Match exec", joka saattaa aiheuttaa joidenkin komentojen epäonnistumisen tietyissä ympäristöissä. BZ # 2471
- ssh-keyscan (1): korjaa lähtö useille isännille / addrs yhdelle riville isännän hajautuksen tai epästandardin portin ollessa käytössä bz # 2479
- sshd (8): ohita "Ei voitu chdir kotihakemistoon" -viesti, kun ChrootDirectory on aktiivinen. BZ # 2485
- ssh (1): sisällytä PubkeyAcceptedKeyTypesin ssh -G config -dumpissa. sshd (8): vältä TunnelForwarding-laitteen lippujen vaihtamista, jos ne ovat jo tarpeellisia; mahdollistaa tun / tap -verkoston käytön ei-juurikäyttäjänä, jos laitteen käyttöoikeudet ja käyttöliittymän liput on ennalta määritetty
- ssh (1), sshd (8): RekeyLimits voidaan ylittää yhdellä paketilla. BZ # 2521
- ssh (1): korjaa multipleksoimalla pääkäyttäjän huomautus asiakkaan poistumisesta.
- ssh (1), ssh-agentti (1): vältä kuolettavia () PKCS11-tokteille, jotka sisältävät tyhjät tunnusnumerot. BZ # 1773
- sshd (8): vältä NULL-argumentin printf. BZ # 2535
- ssh (1), sshd (8): anna RekeyLimitin suurempi kuin 4 Gt. BZ # 2521
- ssh-keygen (1): sshd (8): korjaa useita virheitä (käyttämättöminä) KRL-allekirjoitustukea.
- ssh (1), sshd (8): korjaa yhteydet vertaisryhmien kanssa, jotka käyttävät protokollan avainvaihtoehdon ominaisuutta. BZ # 2515
- sshd (8): sisältää etäportin numeron lokiviesteihin. BZ # 2503
- ssh (1): älä yritä ladata SSHv1-yksityistä avainta, kun se on koottu ilman SSHv1-tukea. BZ # 2505
- ssh-agentti (1), ssh (1): korjaa virheelliset virheviestit avainten lataamisen ja allekirjoituksen virheiden aikana. BZ # 2507
- ssh-keygen (1): älä jätä tyhjiä väliaikaisia tiedostoja suoritettaessa known_hosts-tiedoston muokkauksia, kun known_hosts ei ole olemassa.
- sshd (8): oikea pakettiformaatti tcpip-eteenpäin vastauksille pyynnöille, jotka eivät liitä porttia bz # 2509
- ssh (1), sshd (8): korjaa mahdollista jumittua suljettuun lähtöön. bz # 2469 ssh (1): laajenna% i ohjauskäskyllä UID: ään. BZ # 2449
- ssh (1), sshd (8): korjaa palautustyyppi openssh_RSA_verify. BZ # 2460
- ssh (1), sshd (8): korjaa joitain vaihtoehtojen jäsentämiseen muistivuotoja. BZ # 2182
- ssh (1): lisää virheenkorjaus ennen DNS-resoluutiota; se on paikka, jossa ssh voisi aikaisemmin hiljaa pysähtyä tapauksissa, joissa ei vastannut DNS-palvelimia. bz # 2433 ssh (1): poista väärä uusiline visuaalisesta avaimesta. BZ # 2686
- ssh (1): korjaa tulostus (ssh -G ...) HostKeyAlgorithms = + ...
- ssh (1): vahvistaa HostkeyAlgorithmsin laajentaminen = + ...
- Documentation:
- ssh_config (5), sshd_config (5): päivitä oletusalgoritmilistat vastaamaan nykyistä todellisuutta. BZ # 2527
- ssh (1): mainita -Q avainasettelu ja -Q avain-cert kyselyvaihtoehtoja. BZ # 2455
- sshd_config (8): selkeämmin kuvaile, mitä AuthorizedKeysFile = ei mitään.
- ssh_config (5): parempi dokumentti ExitOnForwardFailure. BZ # 2444
- sshd (5): mainitse sisäiset DH-GEX-vararyhmät manuaalisesti. BZ # 2302
- sshd_config (5): parempi kuvaus MaxSessions-asetukselle. BZ # 2531
- siirrettävyys:
- ssh (1), sftp-palvelin (8), ssh-agentti (1), sshd (8): Tuki Illumos- / Solaris-hienorakeisille oikeuksille. Sisällytä pre-auth privsep-hiekkalaatikko ja useita pantti () emulointeja. BZ # 2511
- Korjaa redhat / openssh.spec, poistamalla vanhentuneet asetukset ja syntaksi.
- konfiguroi: anna - ilman-ssl-moottoria - ilman-openssl
- sshd (8): korjaa useita tunnisteita S / Key avulla. BZ # 2502
- sshd (8): lue libcrypto RAND_ ennen pudotusoikeuksia. Välttää Sandboxingin rikkomukset BoringSSL: llä.
- Korjaa nollan törmäys järjestelmän tarjoamiin glob (3) -toimintoihin. BZ # 2463
- Sovita Makefile käyttää ssh-keygen -A generoimalla isäntäsymbolia. BZ # 2459
- konfiguroi: korjaa oletusarvo --with-ssh1 bz # 2457
- konfiguroi: paremman tunnistuksen _res symbolin bz # 2259
- Tuki getrandom () syscall Linuxille
ssh-keygen (1): lisää ssh-keygen (1): lisää ssh-keygen (1): lisää ssh-keygen (1): lisää ssh- keycan -c ... "-valintaruutu, jotta voit hakea todistuksia tavallisten avainten sijaan.
Uutta strong> versiossa 7.1:
- Suojaus:
- sshd (8): OpenSSH 7.0 sisälsi logiikkavirheen PermitRootLogin = kieltää salasanan / ilman salasanaa, joka voi kääntää-aikakokoonpanon mukaan sallia salasanatodennuksen juurille ja samalla estää muita todentamismenetelmiä. Tämä ongelma on ilmoittanut Mantas Mikulenas.
- Bugikorjauksia:
- ssh (1), sshd (8): lisää yhteensopivuusratkaisuja FuTTY: lle
- ssh (1), sshd (8): tarkenna yhteensopivuusratkaisuja WinSCP: lle
- Korjaa useita muistivirheitä (kaksoisvapaa, vapaata alustattamattomasta muistista jne.) ssh (1): ssa ja ssh-keygen (1): ssa. Raportoi Mateusz Kocielski.
Kommentteja ei löytynyt