OpenSSH

Sagteware kiekie:
OpenSSH
Sagteware besonderhede:
Weergawe: 7.7 Opgedateer
Upload datum: 22 Jun 18
Ontwikkelaar: OpenBSD Project
Lisensie: Gratis
Populariteit: 21
Aflaai

Rating: nan/5 (Total Votes: 0)

OpenSSH is 'n vrye verspreide en open source sagteware projek, 'n biblioteek- en opdraglynprogram wat op die agtergrond van jou GNU / Linux-bedryfstelsel funksioneer en jou hele netwerk beskerm teen indringers en aanvallers. Dit is die oopbron weergawe van die SSH (Secure Shell) spesifikasie, spesifiek ontwerp vir


Funksies in 'n oogopslag

OpenSSH is 'n oopbronprojek wat onder 'n gratis lisensie versprei word. Dit bied sterk verifikasie gebaseer op die publieke sleutel-, Kerberos-verifikasie- en eenmalige wagwoordstandaarde, sterk enkripsie gebaseer op die AES-, Blowfish-, Arcfour- en 3DES-algoritmes. X11-deurstuur ondersteun deur die hele X Window System-verkeer te enkripteer, asook AFS en Kerberos kaartjie verby.

Daarbenewens ondersteun die sagteware funksie poort stuur deur die versleuteling van kanale vir legacy protokolle, data kompressie ondersteuning, agent stuur deur die gebruik van die Single-Sign-On (SSO) verifikasie standaard en SFTP (Secure FTP) bediener en kliënt ondersteuning in óf SSH2 of SSH1 protokolle.

Nog 'n interessante kenmerk is interoperabiliteit, wat beteken dat die projek voldoen aan weergawes 1.3, 1.5 en 2.0 van die oorspronklike SSH (Secure Shell) protokol. Na die installasie sal OpenSSH outomaties die standaard FTP-, Telnet-, RCP- en rlogin-programme vervang met veilige weergawes van hulle, soos SFTP, SCP en SSH.


Onder die kap, beskikbaarheid en ondersteunde bedryfstelsels

Die OpenSSH-projek word heeltemal in die C-programmeertaal geskryf. Dit bestaan ​​uit die hoof SSH implementering en die SSH daemon, wat in die agtergrond loop. Die sagteware word hoofsaaklik as 'n universele bronne argief versprei, wat sal werk met enige GNU / Linux bedryfstelsels op beide 32-bis en 64-bis-argitekture.


Draagbare OpenSSH

'n Draagbare weergawe van die OpenSSH-protokol is ook beskikbaar vir aflaai op Softoware, gratis, genoem Portable OpenSSH. Dit is 'n oopbron implementering van SSH weergawe 1 en SSH weergawe 2 protokolle vir Linux, BSD en Solaris bedryfstelsels.

Wat is nuut in hierdie weergawe:

  • Potensiaal-onverenigbare veranderinge:
  • Hierdie weergawe bevat 'n aantal veranderinge wat bestaande konfigurasies kan beïnvloed:
  • Hierdie weergawe verwyder bedienersteun vir die SSH v.1-protokol.
  • ssh (1): Verwyder 3des-cbc van die standaardvoorstel van die kliënt. 64-bis blokkodes is nie veilig in 2016 nie en ons wil nie wag totdat aanvalle soos SWEET32 na SSH uitgebrei word nie. Aangesien 3des-cbc die enigste verpligte kode in die SSH-RFC's was, kan dit probleme veroorsaak om te koppel aan ouer toestelle wat die verstekkonfigurasie gebruik, maar dit is hoogs waarskynlik dat dit alreeds noodsaaklik is dat sulke toestelle alreeds eksplisiete konfigurasie vir sleutelruil- en hostkey-algoritmes benodig. sshd (8): Verwyder ondersteuning vir pre-verifikasie kompressie. Om vroeg in die protokol te kompresseer, was waarskynlik redelik in die 1990's, maar vandag is dit duidelik 'n slegte idee in terme van beide kriptografie (vgl. Verskeie kompressie-orakelaanvalle in TLS) en aanvaloppervlak. Pre-auth compressie ondersteuning is standaard afgeskakel vir> 10 jaar. Ondersteuning bly in die kliënt. ssh-agent sal weier om PKCS # 11 modules buite 'n witlys van vertroude paaie te laai. Die padlyslys kan op lopende tyd gespesifiseer word.

  • sshd (8): As 'n gedwonge bevel verskyn in beide 'n sertifikaat en 'n gemagtigde sleutels / prinsipale bevel = beperking, sal sshd nou weier om die sertifikaat te aanvaar, tensy dit identies is. Die vorige (gedokumenteerde) gedrag van die gedwonge opdrag van die sertifikaat, sou die ander kon ignoreer, kan 'n bietjie verwarrend en foutief wees. sshd (8): Verwyder die UseLogin-opstelrichtlijn en ondersteun om / login / login se aanmelding sessies te bestuur.
  • Wysigings sedert OpenSSH 7.3:
  • Sekuriteit:
  • ssh-agent (1): Sal nou weier om PKCS # 11-modules van paaie buite 'n betroubare witlys te laai (instelbare lopietyd). Versoeke om modules te laai, kan aangestuur word deur middel van die deurstuur van 'n agent en 'n aanvaller kan probeer om 'n vyandige PKCS # 11 module oor die aangestelde agent kanaal te laai. PKCS # 11 modules is gedeelde biblioteke, dus dit sal lei tot die uitvoering van kode op die stelsel wat die ssh gebruik -agent indien die aanvaller beheer het van die aangestuurde agent-socket (op die gasheer wat die sshd-bediener bestuur) en die vermoë om te skryf aan die lêerstelsel van die gasheer wat ssh-agent bedryf (gewoonlik die gasheer wat die ssh-kliënt bestuur). Aangemeld deur Jann Horn van Project Zero.
  • sshd (8): As privaatskeiding geaktiveer word, sal Unix-domainskokke deur sshd (8) geskep word met die voorregte van 'root' in plaas van die geverifieerde gebruiker. Hierdie uitgawe weier die forwarding van Unix-domeinsluitings wanneer voorkeursafskeiding gedeaktiveer is (Privilege-skeiding is standaard vir 14 jaar aangeskakel). Aangemeld deur Jann Horn van Project Zero.
  • sshd (8): Vermy teoretiese lek van gasheer privaat sleutel materiaal na geskei kinderprosesse via realloc () wanneer u sleutels lees. Geen lekkasie is in die praktyk waargeneem vir normale grootte sleutels nie, en ook nie 'n lek vir die kind verwerk die sleutelmateriaal direk aan onbevoorregte gebruikers nie. Aangemeld deur Jann Horn van Project Zero.
  • sshd (8): Die gedeelde geheue bestuurder wat gebruik word deur vooraf-verifikasie kompressie ondersteuning het 'n grense tjeks wat deur sommige optimaliseer samestellers verleng kan word. Daarbenewens was hierdie geheuebestuurder foutiewelik toeganklik wanneer voorafverifikasie-kompressie gedeaktiveer is. Dit kan moontlik aanvalle teen die bevoorregte moniteringproses van die sandboxed privilegeseparasieproses toelaat ('n kompromie van laasgenoemde sal eers benodig word). Hierdie weergawe verwyder ondersteuning vir pre-verifikasie kompressie van sshd (8). Gerapporteer deur Guido Vranken met behulp van die Stack-instabiele optimaliseringsidentifikasie instrument (http://css.csail.mit.edu/stack/)
  • sshd (8): Bevestig-van-diens toestand waar 'n aanvaller wat meer KEXINIT boodskappe stuur, mag tot 128 MB per verbinding verbruik. Aangemeld deur Shi Lei of Gear Team, Qihoo 360.
  • sshd (8): Valideer adresreekse vir AllowUser en DenyUsers-riglyne by konfigurasietyd en weier om ongeldige eenhede te aanvaar. Dit was voorheen moontlik om ongeldige CIDR-adresreekse te spesifiseer (bv. User@127.1.2.3/55) en dit sal altyd ooreenstem, moontlik as gevolg van toegang verleen waar dit nie bedoel is nie. Gerapporteer deur Laurence Parry.
  • Nuwe funksies:
  • ssh (1): Voeg 'n proxy multiplexing af na ssh (1) geïnspireer deur die weergawe in PuTTY deur Simon Tatham. Dit laat 'n multiplexing-kliënt toe om met die meesterproses te kommunikeer deur gebruik te maak van 'n subset van die SSH-pakkie en kanale protokol oor 'n Unix-domein socket, met die hoofproses wat as 'n proxy dien wat kanaal ID's vertaal. Dit laat die multiplexing modus toe stelsels wat nie die lêer-descriptor verbygaan nie (gebruik deur die huidige multiplexing-kode) en moontlik, in kombinasie met Unix-domein socket-deurstuur, met die kliënt en multiplexing meesterproses op verskillende masjiene. Veelvuldige proxy modus kan aangewend word deur gebruik te maak van 'ssh -O proxy ... "
  • sshd (8): Voeg 'n sshd_config DisableForwarding opsie in wat X11, agent, TCP, tonnel- en Unix-domeinsentrumuitstuur, asook enige iets wat ons in die toekoms kan implementeer, deaktiveer. Soos die vlag van 'authorized_keys' beperk, is dit 'n eenvoudige en toekomstige manier om 'n rekening te beperk.
  • sshd (8), ssh (1): Ondersteun die "curve25519-sha256" sleutel ruil metode. Dit is identies aan die huidige ondersteunde metode met die naam "curve25519-sha256@libssh.org".
  • sshd (8): Verbeter hantering van SIGHUP deur te kyk of sshd reeds by opstarten gemodelleer is en die oproep na daemon (3) oorskakel as dit is. Dit verseker dat 'n SIGHUP-herlaai van sshd (8) dieselfde proses-ID as die aanvanklike uitvoering sal behou. sshd (8) sal nou ook die PidFile ontkoppel voor SIGHUP herbegin en weer skep na 'n suksesvolle herlaai, eerder as om 'n ouer lêer in die geval van 'n konfigurasie fout te verlaat. BZ # 2641
  • sshd (8): Laat die riglyne ClientAliveInterval en ClientAliveCountMax toe in sshd_config-blokke.
  • sshd (8): Voeg% -scapes by AuthorizedPrincipalsCommand toe om diegene wat ondersteun word deur AuthorizedKeysCommand (sleutel, sleuteltipe, vingerafdruk, ens.) en 'n paar meer om toegang te gee tot die inhoud van die sertifikaat wat aangebied word.
  • Toegevoegde regressietoetse vir tou-ooreenstemmende, adres-passing en string sanitasie funksies.
  • Verbeter die sleutel uitruiling fuzzer harness.
  • Foutoplossings:
  • ssh (1): Laat IdentityFile toe om sertifikate met geen ooreenstemmende kaal publieke sleutel suksesvol te laai en te gebruik nie. bz # 2617 sertifikaat id_rsa-cert.pub (en geen id_rsa.pub).
  • ssh (1): Bevestig publieke sleutel verifikasie wanneer veelvoudige verifikasie in gebruik is en publieke sleutel is nie net die eerste metode wat gepoog is nie. BZ # 2642
  • regress: Laat die PuTTY interop toetse toe om onbewaak te loop. BZ # 2639
  • ssh-agent (1), ssh (1): verbeter verslaggewing wanneer jy sleutels vanaf PKCS # 11-tokens laai met minder nuttelose log boodskappe en meer detail in debug boodskappe. BZ # 2610
  • ssh (1): Moenie Stderr besoedel as LogLevel = stil is wanneer jy ControlMaster-verbindings afbreek nie.
  • sftp (1): On ^ Z wag vir onderliggende ssh (1) om op te skort voordat sftp (1) geskors word om te verseker dat ssh (1) die terminale modus korrek herstel as dit tydens 'n wagwoordprompt geskors word.
  • ssh (1): Vermy besig om te wag wanneer ssh (1) opgeskort word tydens 'n wagwoordprompt.
  • ssh (1), sshd (8): Korrigeer foute tydens die stuur van ext-info boodskappe.
  • sshd (8): herstel NULL-deref crash as sshd (8) 'n NIEUWKEYS-boodskap ontvang het nie.
  • sshd (8): Korrekte lys van ondersteunde handtekening algoritmes gestuur in die bediener-sig-algs uitbreiding. BZ # 2547
  • sshd (8): Oplossing stuur ext_info boodskap as privsep gedeaktiveer is.
  • sshd (8): meer streng afwagting van die verwagte bestelling van privilege skeiding monitor oproepe wat gebruik word vir verifikasie en toelaat dit slegs wanneer hul onderskeie verifikasie metodes in die konfigurasie geaktiveer is.
  • sshd (8): Fix uninitialised optlen in getockopt () call; onskadelik op Unix / BSD, maar potensieel crashy op Cygwin.
  • Bevestig vals positiewe verslae wat veroorsaak word deur explicit_bzero (3) nie as 'n geheue-aansteller erken wanneer dit saamgestel word met -fsanitize-geheue. sshd_config (5): Gebruik 2001: db8 :: / 32, die amptelike IPv6 subnet vir konfigurasie voorbeelde.
  • Oordraagbaarheid:
  • Op omgewings wat met Turkse plekke gekonfigureer is, val terug na die C / POSIX-land om foute in die opstel van parsering te voorkom as gevolg van die unieke hantering van die letters 'I' en 'I'. BZ # 2643
  • sftp-bediener (8), ssh-agent (1): ontken ptrace op OS X deur gebruik te maak van ptrace (PT_DENY_ATTACH, ..)
  • ssh (1), sshd (8): Ontbreek AES-Deurkliektempo-kodes op ou (~ 0.9.8) OpenSSL.
  • Stel kompilasie vir libcrypto saam sonder RIPEMD160-ondersteuning.

  • bydra: Voeg 'n gnome-ssh-askpass3 by met GTK + 3-ondersteuning. bz # 2640 sshd (8): Verbeter PRNG resededing oor privilege skeiding en dwing libcrypto om 'n hoë kwaliteit saad te verkry voor chroot of sandboxing.
  • Alles: Duidelike toets vir gebroke strnvis. NetBSD het 'n strnvis bygevoeg en het dit ongelukkig onverenigbaar gemaak met die bestaande in OpenBSD en Linux se libbsd (die voormalige het al meer as tien jaar bestaan). Probeer om hierdie gemors op te spoor en aanvaar die enigste veilige opsie as ons kruisversamel.

Wat is nuut in weergawe:

  • Potensiaal-onverenigbare veranderinge:
  • Hierdie weergawe bevat 'n aantal veranderinge wat bestaande konfigurasies kan beïnvloed:
  • Hierdie weergawe verwyder bedienersteun vir die SSH v.1-protokol.
  • ssh (1): Verwyder 3des-cbc van die standaardvoorstel van die kliënt. 64-bis blokkodes is nie veilig in 2016 nie en ons wil nie wag totdat aanvalle soos SWEET32 na SSH uitgebrei word nie. Aangesien 3des-cbc die enigste verpligte kode in die SSH-RFC's was, kan dit probleme veroorsaak om te koppel aan ouer toestelle wat die verstekkonfigurasie gebruik, maar dit is hoogs waarskynlik dat dit alreeds noodsaaklik is dat sulke toestelle alreeds eksplisiete konfigurasie vir sleutelruil- en hostkey-algoritmes benodig. sshd (8): Verwyder ondersteuning vir pre-verifikasie kompressie. Om vroeg in die protokol te kompresseer, was waarskynlik redelik in die 1990's, maar vandag is dit duidelik 'n slegte idee in terme van beide kriptografie (vgl. Verskeie kompressie-orakelaanvalle in TLS) en aanvaloppervlak. Pre-auth compressie ondersteuning is standaard afgeskakel vir> 10 jaar. Ondersteuning bly in die kliënt. ssh-agent sal weier om PKCS # 11 modules buite 'n witlys van vertroude paaie te laai. Die padlyslys kan op lopende tyd gespesifiseer word.

  • sshd (8): As 'n gedwonge bevel verskyn in beide 'n sertifikaat en 'n gemagtigde sleutels / prinsipale bevel = beperking, sal sshd nou weier om die sertifikaat te aanvaar, tensy dit identies is. Die vorige (gedokumenteerde) gedrag van die gedwonge opdrag van die sertifikaat, sou die ander kon ignoreer, kan 'n bietjie verwarrend en foutief wees. sshd (8): Verwyder die UseLogin-opstelrichtlijn en ondersteun om / login / login se aanmelding sessies te bestuur.
  • Wysigings sedert OpenSSH 7.3:
  • Sekuriteit:
  • ssh-agent (1): Sal nou weier om PKCS # 11-modules van paaie buite 'n betroubare witlys te laai (instelbare lopietyd). Versoeke om modules te laai, kan aangestuur word deur middel van die deurstuur van 'n agent en 'n aanvaller kan probeer om 'n vyandige PKCS # 11 module oor die aangestelde agent kanaal te laai. PKCS # 11 modules is gedeelde biblioteke, dus dit sal lei tot die uitvoering van kode op die stelsel wat die ssh gebruik -agent indien die aanvaller beheer het van die aangestuurde agent-socket (op die gasheer wat die sshd-bediener bestuur) en die vermoë om te skryf aan die lêerstelsel van die gasheer wat ssh-agent bedryf (gewoonlik die gasheer wat die ssh-kliënt bestuur). Aangemeld deur Jann Horn van Project Zero.
  • sshd (8): As privaatskeiding geaktiveer word, sal Unix-domainskokke deur sshd (8) geskep word met die voorregte van 'root' in plaas van die geverifieerde gebruiker. Hierdie uitgawe weier die forwarding van Unix-domeinsluitings wanneer voorkeursafskeiding gedeaktiveer is (Privilege-skeiding is standaard vir 14 jaar aangeskakel). Aangemeld deur Jann Horn van Project Zero.
  • sshd (8): Vermy teoretiese lek van gasheer privaat sleutel materiaal na geskei kinderprosesse via realloc () wanneer u sleutels lees. Geen lekkasie is in die praktyk waargeneem vir normale grootte sleutels nie, en ook nie 'n lek vir die kind verwerk die sleutelmateriaal direk aan onbevoorregte gebruikers nie. Aangemeld deur Jann Horn van Project Zero.
  • sshd (8): Die gedeelde geheue bestuurder wat gebruik word deur vooraf-verifikasie kompressie ondersteuning het 'n grense tjeks wat deur sommige optimaliseer samestellers verleng kan word. Daarbenewens was hierdie geheuebestuurder foutiewelik toeganklik wanneer voorafverifikasie-kompressie gedeaktiveer is. Dit kan moontlik aanvalle teen die bevoorregte moniteringproses van die sandboxed privilegeseparasieproses toelaat ('n kompromie van laasgenoemde sal eers benodig word). Hierdie weergawe verwyder ondersteuning vir pre-verifikasie kompressie van sshd (8). Gerapporteer deur Guido Vranken met behulp van die Stack-instabiele optimaliseringsidentifikasie instrument (http://css.csail.mit.edu/stack/)
  • sshd (8): Bevestig-van-diens toestand waar 'n aanvaller wat meer KEXINIT boodskappe stuur, mag tot 128 MB per verbinding verbruik. Aangemeld deur Shi Lei of Gear Team, Qihoo 360.
  • sshd (8): Valideer adresreekse vir AllowUser en DenyUsers-riglyne by konfigurasietyd en weier om ongeldige eenhede te aanvaar. Dit was voorheen moontlik om ongeldige CIDR-adresreekse te spesifiseer (bv. User@127.1.2.3/55) en dit sal altyd ooreenstem, moontlik as gevolg van toegang verleen waar dit nie bedoel is nie. Gerapporteer deur Laurence Parry.
  • Nuwe funksies:
  • ssh (1): Voeg 'n proxy multiplexing af na ssh (1) geïnspireer deur die weergawe in PuTTY deur Simon Tatham. Dit laat 'n multiplexing-kliënt toe om met die meesterproses te kommunikeer deur gebruik te maak van 'n subset van die SSH-pakkie en kanale protokol oor 'n Unix-domein socket, met die hoofproses wat as 'n proxy dien wat kanaal ID's vertaal. Dit laat die multiplexing modus toe stelsels wat nie die lêer-descriptor verbygaan nie (gebruik deur die huidige multiplexing-kode) en moontlik, in kombinasie met Unix-domein socket-deurstuur, met die kliënt en multiplexing meesterproses op verskillende masjiene. Veelvuldige proxy modus kan aangewend word deur gebruik te maak van 'ssh -O proxy ... "
  • sshd (8): Voeg 'n sshd_config DisableForwarding opsie in wat X11, agent, TCP, tonnel- en Unix-domeinsentrumuitstuur, asook enige iets wat ons in die toekoms kan implementeer, deaktiveer. Soos die vlag van 'authorized_keys' beperk, is dit 'n eenvoudige en toekomstige manier om 'n rekening te beperk.
  • sshd (8), ssh (1): Ondersteun die "curve25519-sha256" sleutel ruil metode. Dit is identies aan die huidige ondersteunde metode met die naam "curve25519-sha256@libssh.org".
  • sshd (8): Verbeter hantering van SIGHUP deur te kyk of sshd reeds by opstarten gemodelleer is en die oproep na daemon (3) oorskakel as dit is. Dit verseker dat 'n SIGHUP-herlaai van sshd (8) dieselfde proses-ID as die aanvanklike uitvoering sal behou. sshd (8) sal nou ook die PidFile ontkoppel voor SIGHUP herbegin en weer skep na 'n suksesvolle herlaai, eerder as om 'n ouer lêer in die geval van 'n konfigurasie fout te verlaat. BZ # 2641
  • sshd (8): Laat die riglyne ClientAliveInterval en ClientAliveCountMax toe in sshd_config-blokke.
  • sshd (8): Voeg% -scapes by AuthorizedPrincipalsCommand toe om diegene wat ondersteun word deur AuthorizedKeysCommand (sleutel, sleuteltipe, vingerafdruk, ens.) en 'n paar meer om toegang te gee tot die inhoud van die sertifikaat wat aangebied word.
  • Toegevoegde regressietoetse vir tou-ooreenstemmende, adres-passing en string sanitasie funksies.
  • Verbeter die sleutel uitruiling fuzzer harness.
  • Foutoplossings:
  • ssh (1): Laat IdentityFile toe om sertifikate met geen ooreenstemmende kaal publieke sleutel suksesvol te laai en te gebruik nie. bz # 2617 sertifikaat id_rsa-cert.pub (en geen id_rsa.pub).
  • ssh (1): Bevestig publieke sleutel verifikasie wanneer veelvoudige verifikasie in gebruik is en publieke sleutel is nie net die eerste metode wat gepoog is nie. BZ # 2642
  • regress: Laat die PuTTY interop toetse toe om onbewaak te loop. BZ # 2639
  • ssh-agent (1), ssh (1): verbeter verslaggewing wanneer jy sleutels vanaf PKCS # 11-tokens laai met minder nuttelose log boodskappe en meer detail in debug boodskappe. BZ # 2610
  • ssh (1): Moenie Stderr besoedel as LogLevel = stil is wanneer jy ControlMaster-verbindings afbreek nie.
  • sftp (1): On ^ Z wag vir onderliggende ssh (1) om op te skort voordat sftp (1) geskors word om te verseker dat ssh (1) die terminale modus korrek herstel as dit tydens 'n wagwoordprompt geskors word.
  • ssh (1): Vermy besig om te wag wanneer ssh (1) opgeskort word tydens 'n wagwoordprompt.
  • ssh (1), sshd (8): Korrigeer foute tydens die stuur van ext-info boodskappe.
  • sshd (8): herstel NULL-deref crash as sshd (8) 'n NIEUWKEYS-boodskap ontvang het nie.
  • sshd (8): Korrekte lys van ondersteunde handtekening algoritmes gestuur in die bediener-sig-algs uitbreiding. BZ # 2547
  • sshd (8): Oplossing stuur ext_info boodskap as privsep gedeaktiveer is.
  • sshd (8): meer streng afwagting van die verwagte bestelling van privilege skeiding monitor oproepe wat gebruik word vir verifikasie en toelaat dit slegs wanneer hul onderskeie verifikasie metodes in die konfigurasie geaktiveer is.
  • sshd (8): Fix uninitialised optlen in getockopt () call; onskadelik op Unix / BSD, maar potensieel crashy op Cygwin.
  • Bevestig vals positiewe verslae wat veroorsaak word deur explicit_bzero (3) nie as 'n geheue-aansteller erken wanneer dit saamgestel word met -fsanitize-geheue. sshd_config (5): Gebruik 2001: db8 :: / 32, die amptelike IPv6 subnet vir konfigurasie voorbeelde.
  • Oordraagbaarheid:
  • Op omgewings wat met Turkse plekke gekonfigureer is, val terug na die C / POSIX-land om foute in die opstel van parsering te voorkom as gevolg van die unieke hantering van die letters 'I' en 'I'. BZ # 2643
  • sftp-bediener (8), ssh-agent (1): ontken ptrace op OS X deur gebruik te maak van ptrace (PT_DENY_ATTACH, ..)
  • ssh (1), sshd (8): Ontbreek AES-Deurkliektempo-kodes op ou (~ 0.9.8) OpenSSL.
  • Stel kompilasie vir libcrypto saam sonder RIPEMD160-ondersteuning.

  • bydra: Voeg 'n gnome-ssh-askpass3 by met GTK + 3-ondersteuning. bz # 2640 sshd (8): Verbeter PRNG resededing oor privilege skeiding en dwing libcrypto om 'n hoë kwaliteit saad te verkry voor chroot of sandboxing.
  • Alles: Duidelike toets vir gebroke strnvis. NetBSD het 'n strnvis bygevoeg en het dit ongelukkig onverenigbaar gemaak met die bestaande in OpenBSD en Linux se libbsd (die voormalige het al meer as tien jaar bestaan). Probeer om hierdie gemors op te spoor en aanvaar die enigste veilige opsie as ons kruisversamel.

Wat is nuut in weergawe 7.4:

  • Potensiaal-onverenigbare veranderinge:
  • Hierdie weergawe bevat 'n aantal veranderinge wat bestaande konfigurasies kan beïnvloed:
  • Hierdie weergawe verwyder bedienersteun vir die SSH v.1-protokol.
  • ssh (1): Verwyder 3des-cbc van die standaardvoorstel van die kliënt. 64-bis blokkodes is nie veilig in 2016 nie en ons wil nie wag totdat aanvalle soos SWEET32 na SSH uitgebrei word nie. Aangesien 3des-cbc die enigste verpligte kode in die SSH-RFC's was, kan dit probleme veroorsaak om te koppel aan ouer toestelle wat die verstekkonfigurasie gebruik, maar dit is hoogs waarskynlik dat dit alreeds noodsaaklik is dat sulke toestelle alreeds eksplisiete konfigurasie vir sleutelruil- en hostkey-algoritmes benodig. sshd (8): Verwyder ondersteuning vir pre-verifikasie kompressie. Om vroeg in die protokol te kompresseer, was waarskynlik redelik in die 1990's, maar vandag is dit duidelik 'n slegte idee in terme van beide kriptografie (vgl. Verskeie kompressie-orakelaanvalle in TLS) en aanvaloppervlak. Pre-auth compressie ondersteuning is standaard afgeskakel vir> 10 jaar. Ondersteuning bly in die kliënt. ssh-agent sal weier om PKCS # 11 modules buite 'n witlys van vertroude paaie te laai. Die padlyslys kan op lopietyd gespesifiseer word.
  • sshd (8): As 'n gedwonge bevel verskyn in beide 'n sertifikaat en 'n gemagtigde sleutels / prinsipale bevel = beperking, sal sshd nou weier om die sertifikaat te aanvaar, tensy dit identies is. Die vorige (gedokumenteerde) gedrag van die gedwonge opdrag van die sertifikaat, sou die ander kon ignoreer, kan 'n bietjie verwarrend en foutief wees. sshd (8): Verwyder die UseLogin-opstelrichtlijn en ondersteun om / login / login se aanmelding sessies te bestuur.
  • Wysigings sedert OpenSSH 7.3:
  • Sekuriteit:
  • ssh-agent (1): Sal nou weier om PKCS # 11-modules van paaie buite 'n betroubare witlys te laai (instelbare lopietyd). Versoeke om modules te laai, kan aangestuur word deur middel van die deurstuur van 'n agent en 'n aanvaller kan probeer om 'n vyandige PKCS # 11 module oor die aangestelde agent kanaal te laai. PKCS # 11 modules is gedeelde biblioteke, dus dit sal lei tot die uitvoering van kode op die stelsel wat die ssh gebruik -agent indien die aanvaller beheer het van die aangestuurde agent-socket (op die gasheer wat die sshd-bediener bestuur) en die vermoë om te skryf aan die lêerstelsel van die gasheer wat ssh-agent bedryf (gewoonlik die gasheer wat die ssh-kliënt bestuur). Aangemeld deur Jann Horn van Project Zero.
  • sshd (8): As privaatskeiding geaktiveer word, sal Unix-domainskokke deur sshd (8) geskep word met die voorregte van 'root' in plaas van die geverifieerde gebruiker. Hierdie uitgawe weier die forwarding van Unix-domeinsluitings wanneer voorkeursafskeiding gedeaktiveer is (Privilege-skeiding is standaard vir 14 jaar aangeskakel). Aangemeld deur Jann Horn van Project Zero.
  • sshd (8): Vermy teoretiese lek van gasheer privaat sleutel materiaal na geskei kinderprosesse via realloc () wanneer u sleutels lees. Geen lekkasie is in die praktyk waargeneem vir normale grootte sleutels nie, en ook nie 'n lek vir die kind verwerk die sleutelmateriaal direk aan onbevoorregte gebruikers nie. Aangemeld deur Jann Horn van Project Zero.
  • sshd (8): Die gedeelde geheue bestuurder wat gebruik word deur vooraf-verifikasie kompressie ondersteuning het 'n grense tjeks wat deur sommige optimaliseer samestellers verleng kan word. Daarbenewens was hierdie geheuebestuurder foutiewelik toeganklik wanneer voorafverifikasie-kompressie gedeaktiveer is. Dit kan moontlik aanvalle teen die bevoorregte moniteringproses van die sandboxed privilegeseparasieproses toelaat ('n kompromie van laasgenoemde sal eers benodig word). Hierdie weergawe verwyder ondersteuning vir pre-verifikasie kompressie van sshd (8). Gerapporteer deur Guido Vranken met behulp van die Stack-instabiele optimaliseringsidentifikasie instrument (http://css.csail.mit.edu/stack/)
  • sshd (8): Bevestig-van-diens toestand waar 'n aanvaller wat meer KEXINIT boodskappe stuur, mag tot 128 MB per verbinding verbruik. Aangemeld deur Shi Lei of Gear Team, Qihoo 360.
  • sshd (8): Valideer adresreekse vir AllowUser en DenyUsers-riglyne by konfigurasietyd en weier om ongeldige eenhede te aanvaar. Dit was voorheen moontlik om ongeldige CIDR-adresreekse te spesifiseer (bv. User@127.1.2.3/55) en dit sal altyd ooreenstem, moontlik as gevolg van toegang verleen waar dit nie bedoel is nie. Gerapporteer deur Laurence Parry.
  • Nuwe funksies:
  • ssh (1): Voeg 'n proxy multiplexing af na ssh (1) geïnspireer deur die weergawe in PuTTY deur Simon Tatham. Dit laat 'n multiplexing-kliënt toe om met die meesterproses te kommunikeer deur gebruik te maak van 'n subset van die SSH-pakkie en kanale protokol oor 'n Unix-domein socket, met die hoofproses wat as 'n proxy dien wat kanaal ID's vertaal. Dit laat die multiplexing modus toe stelsels wat nie die lêer-descriptor verbygaan nie (gebruik deur die huidige multiplexing-kode) en moontlik, in kombinasie met Unix-domein socket-deurstuur, met die kliënt en multiplexing meesterproses op verskillende masjiene. Veelvuldige proxy modus kan aangewend word met behulp van "ssh -O proxy ..."
  • sshd (8): Voeg 'n sshd_config DisableForwarding opsie in wat X11, agent, TCP, tonnel- en Unix-domeinsentrumuitstuur, asook enige iets wat ons in die toekoms kan implementeer, deaktiveer. Soos die vlag van 'authorized_keys' beperk, is dit 'n eenvoudige en toekomstige manier om 'n rekening te beperk.
  • sshd (8), ssh (1): Ondersteun die "curve25519-sha256" sleutel uitruil metode. Dit is identies aan die huidige ondersteunde metode genaamd "curve25519-sha256@libssh.org".
  • sshd (8): Verbeter hantering van SIGHUP deur te kyk of sshd reeds by opstarten gemodelleer is en die oproep na daemon (3) oorskakel as dit is. Dit verseker dat 'n SIGHUP-herlaai van sshd (8) dieselfde proses-ID as die aanvanklike uitvoering sal behou. sshd (8) sal nou ook die PidFile ontkoppel voor SIGHUP herbegin en weer skep na 'n suksesvolle herlaai, eerder as om 'n ouer lêer in die geval van 'n konfigurasie fout te verlaat. BZ # 2641
  • sshd (8): Laat die riglyne ClientAliveInterval en ClientAliveCountMax toe in sshd_config-blokke.
  • sshd (8): Voeg% -scapes by AuthorizedPrincipalsCommand toe om diegene wat ondersteun word deur AuthorizedKeysCommand (sleutel, sleuteltipe, vingerafdruk, ens.) en 'n paar meer om toegang te gee tot die inhoud van die sertifikaat wat aangebied word.
  • Toegevoegde regressietoetse vir tou-ooreenstemmende, adres-passing en string sanitasie funksies.
  • Verbeter die sleutel uitruiling fuzzer harness.
  • Foutoplossings:
  • ssh (1): Laat IdentityFile toe om sertifikate met geen ooreenstemmende kaal publieke sleutel suksesvol te laai en te gebruik nie. bz # 2617 sertifikaat id_rsa-cert.pub (en geen id_rsa.pub).
  • ssh (1): Bevestig publieke sleutel verifikasie wanneer veelvoudige verifikasie in gebruik is en publieke sleutel is nie net die eerste metode wat gepoog is nie. BZ # 2642
  • regress: Laat die PuTTY interop toetse toe om onbewaak te loop. BZ # 2639
  • ssh-agent (1), ssh (1): verbeter verslaggewing wanneer jy sleutels vanaf PKCS # 11-tokens laai met minder nuttelose log boodskappe en meer detail in debug boodskappe. BZ # 2610
  • ssh (1): Moenie Stderr besoedel as LogLevel = stil is wanneer jy ControlMaster-verbindings afbreek nie.
  • sftp (1): On ^ Z wag vir onderliggende ssh (1) om op te skort voordat sftp (1) geskors word om te verseker dat ssh (1) die terminale modus korrek herstel as dit tydens 'n wagwoordprompt geskors word.
  • ssh (1): Vermy besig om te wag wanneer ssh (1) opgeskort word tydens 'n wagwoordprompt.
  • ssh (1), sshd (8): Korrigeer foute tydens die stuur van ext-info boodskappe.
  • sshd (8): herstel NULL-deref crash as sshd (8) 'n NIEUWKEYS-boodskap ontvang het nie.
  • sshd (8): Korrekte lys van ondersteunde handtekening algoritmes gestuur in die bediener-sig-algs uitbreiding. BZ # 2547
  • sshd (8): Oplossing stuur ext_info boodskap as privsep gedeaktiveer is.
  • sshd (8): meer streng afwagting van die verwagte bestelling van privilege skeiding monitor oproepe wat gebruik word vir verifikasie en toelaat dit slegs wanneer hul onderskeie verifikasie metodes in die konfigurasie geaktiveer is.
  • sshd (8): Fix uninitialised optlen in getockopt () call; onskadelik op Unix / BSD, maar potensieel crashy op Cygwin.
  • Bevestig vals positiewe verslae wat veroorsaak word deur explicit_bzero (3) nie as 'n geheue-aansteller erken wanneer dit saamgestel word met -fsanitize-geheue. sshd_config (5): Gebruik 2001: db8 :: / 32, die amptelike IPv6 subnet vir konfigurasie voorbeelde.
  • Oordraagbaarheid:
  • Op omgewings wat met Turkse plekke gekonfigureer is, val terug na die C / POSIX-land om foute in die opstel van parsering te voorkom as gevolg van die unieke hantering van die letters 'I' en 'I'. BZ # 2643
  • sftp-bediener (8), ssh-agent (1): ontken ptrace op OS X deur gebruik te maak van ptrace (PT_DENY_ATTACH, ..)
  • ssh (1), sshd (8): Ontbreek AES-Deurkliektempo-kodes op ou (~ 0.9.8) OpenSSL.
  • Stel kompilasie vir libcrypto saam sonder RIPEMD160-ondersteuning.
  • bydrae: Voeg 'n gnome-ssh-askpass3 by met GTK + 3-ondersteuning. bz # 2640 sshd (8): Verbeter PRNG resededing oor privilege skeiding en dwing libcrypto om 'n hoë kwaliteit saad te verkry voor chroot of sandboxing.

  • Alles: Duidelike toets vir gebroke strnvis. NetBSD het 'n strnvis bygevoeg en het dit ongelukkig onverenigbaar gemaak met die bestaande in OpenBSD en Linux se libbsd (die voormalige het al meer as tien jaar bestaan). Probeer om hierdie gemors op te spoor en aanvaar die enigste veilige opsie as ons kruisversamel.

Wat is nuut in weergawe 7.3:

  • Sekuriteit:
  • sshd (8): Vermy 'n moontlike aanval-van-diens aanval teen die stelsel se krip (3) funksie via sshd (8). 'N Aanvaller kan baie lang wagwoorde stuur wat oormatige SVE-gebruik in die grafkrip sou veroorsaak (3). sshd (8) weier nou om wagwoordverifikasie versoeke van langer as 1024 karakters te aanvaar. Onafhanklik gerapporteer deur Tomas Kuthan (Oracle), Andres Rojas en Javier Nieto.
  • sshd (8): Verminder tydsbepalingsverskille in wagwoordverifikasie wat gebruik kan word om geldige van ongeldige rekeningname te onderskei wanneer lang wagwoorde gestuur is en spesifieke wagwoordhasningsalgoritmes op die bediener gebruik word. CVE-2016-6210, aangemeld deur EddieEzra.Harari by verint.com
  • ssh (1), sshd (8): Bepaal waarneembare tydsberekening swakheid in die CBC padding oracle countermeasures. Aangemeld deur Jean Paul Degabriele, Kenny Paterson, Torben Hansen en Martin Albrecht. Let daarop dat CBC-ciphers standaard is afgeskakel en slegs ingesluit word vir nalatenskapskompatibiliteit.
  • ssh (1), sshd (8): Verbeter operasie bestelling van MAC verifikasie vir enkripsie-dan-MAC (EtM) modus vervoer MAC algoritmes om die MAC te verifieer voor die dekodeer van enige kode. Dit verwyder die moontlikheid van tydsverskille wat feite oor die gewone teks lek, hoewel daar nie so 'n lekkasie is waargeneem nie. Aangemeld deur Jean Paul Degabriele, Kenny Paterson, Torben Hansen en Martin Albrecht. sshd (8): (slegs draagbaar) Ignoreer PAM omgewing vars wanneer UseLogin = ja. As PAM is ingestel om gebruikers-gespesifiseerde omgewing veranderlikes te lees en UseLogin = ja in sshd_config, kan 'n vyandige plaaslike gebruiker aanval / bin / login via LD_PRELOAD of soortgelyke omgewing veranderlikes wat via PAM ingestel is. CVE-2015-8325, gevind deur Shayan Sadigh.
  • Nuwe funksies:
  • ssh (1): Voeg 'n ProxyJump opsie en ooreenstemmende -J command line-vlag toe om vereenvoudigde indireksie deur een of meer SSH-bastions of "jump hosts" toe te laat.
  • ssh (1): Voeg 'n IdentityAgent-opsie by om spesifieke agent-voetstukke te spesifiseer in plaas van om een ​​van die omgewing te aanvaar. ssh (1): Laat ExitOnForwardFailure en ClearAllForwardings toe as opsioneel oortree word wanneer u ssh-W gebruik. BZ # 2577
  • ssh (1), sshd (8): Implementeer ondersteuning vir die IUTF8 terminale modus soos per konsep-sgtatham-secsh-iutf8-00. ssh (1), sshd (8): Voeg bykomende vaste Diffie-Hellman 2K-, 4K- en 8K-groepe van draft-ietf-curdle-ssh-kex-sha2-03 by.
  • ssh-keygen (1), ssh (1), sshd (8): ondersteun SHA256 en SHA512 RSA handtekeninge in sertifikate; ssh (1): Voeg 'n riglyne vir die insluiting by vir ssh_config (5) lêers.
  • ssh (1): Laat UTF-8 karakters toe in voorverifikasiebande wat vanaf die bediener gestuur word. BZ # 2058
  • Foutoplossings:
  • ssh (1), sshd (8): Verminder die syslog-vlak van 'n paar relatief algemene protokol gebeure van LOG_CRIT. BZ # 2585
  • sshd (8): Vee AuthenticationMethods = "" in konfigurasies en aanvaar AuthenticationMethods = enige vir die verstekgedrag wat nie meer verifikasie vereis nie. BZ # 2398
  • sshd (8): Verwyder verouderde en misleidende "MOONTLIKE BREAK-IN ATTEMPT!" boodskap wanneer vorentoe en omgekeerde DNS nie ooreenstem nie. BZ # 2585
  • ssh (1): Sluit ControlPersist agtergrond proses stderr behalwe in debug modus of wanneer u aanteken by syslog. BZ # 1988
  • misc: Maak PROTOCOL beskrywing vir direct-streamlocal@openssh.com kanaal oop boodskappe ooreenstem met ontplooide kode. BZ # 2529

  • ssh (1): Ontleed LocalForward en RemoteForward-inskrywings om foute op te los wanneer beide ExitOnForwardFailure en hostname canonicalization aangeskakel is. BZ # 2562
  • sshd (8): Verwyder terugval van moduli na verouderde "primes" lêer wat in 2001 verval is. bz # 2559.
  • sshd_config (5): Korrekte beskrywing van UseDNS: dit raak ssh hostname verwerking vir authorized_keys, not known_hosts; bz # 2554 ssh (1): Bevestig verifikasie met behulp van enkel sertifikaat sleutels in 'n agent sonder ooreenstemmende privaat sleutels op die lêerstelsel. BZ # 2550
  • sshd (8): Stuur ClientAliveInterval pings wanneer 'n tydgebaseerde RekeyLimit ingestel is; Voorheen houerpakke is nie gestuur nie. BZ # 2252

Wat is nuut in weergawe 7.2:

  • Sekuriteit:
  • ssh (1), sshd (8): verwyder onvoltooide en ongebruikte roamingkode (is reeds gedwing in OpenSSH 7.1p2).
  • ssh (1): skakel terugval van onbeheerde X11-aanstuur na vertrou deurstuur wanneer die X-bediener die sekuriteitsuitbreiding uitskakel.
  • ssh (1), sshd (8): verhoog die minimum modulusgrootte wat ondersteun word vir diffie-hellman-groep-uitruil na 2048 bisse.
  • sshd (8): Pre-auth sandboxing is nou standaard geaktiveer (vorige verslae het dit vir nuwe installasies via sshd_config aangeskakel.)
  • Nuwe funksies:
  • almal: voeg ondersteuning vir RSA handtekeninge toe deur SHA-256/512 hash-algoritmes gebaseer op draft-rsa-dsa-sha2-256-03.txt en draft-ssh-ext-info-04.txt.
  • ssh (1): Voeg 'n AddKeysToAgent kliënt opsie by wat kan gestel word op 'ja', 'nee', 'vra' of 'bevestig' en 'nee'. As dit geaktiveer is, word 'n privaat sleutel wat tydens verifikasie gebruik word, by ssh-agent gevoeg as dit uitgevoer word (met bevestiging geaktiveer as dit ingestel is om te bevestig).
  • sshd (8): voeg 'n nuwe authorized_keys opsie "restrict" toe wat alle huidige en toekomstige sleutelbeperkings insluit (geen - * - aanstuur, ens.). Voeg ook permissiewe weergawes van die bestaande beperkings by, bv. "no-pty" -> "Edms". Dit vereenvoudig die taak om beperkte sleutels op te stel en te verseker dat hulle maksimaal beperk is, ongeag enige toestemmings wat ons in die toekoms kan implementeer. ssh (1): voeg ssh_config CertificateFile opsie toe om eksplisiete sertifikate te lys. BZ # 2436
  • ssh-keygen (1): laat ssh-keygen toe om die sleutel kommentaar te verander vir alle ondersteunde formate.
  • ssh-keygen (1): laat vingerafdruk toe vanaf standaard insette, bv. "ssh-keygen -ff -"
  • ssh-keygen (1): laat vingerafdruk verskeie publieke sleutels in 'n lêer toe, bv. "ssh-keygen -lf ~ / .ssh / authorized_keys" bz # 1319
  • sshd (8): ondersteun "none" as 'n argument vir sshd_config Voorgrond en ChrootDirectory. Nuttige binne blokkies om 'n globale standaard te ignoreer. BZ # 2486
  • ssh-keygen (1): ondersteun veelvuldige sertifikate (een per reël) en lees van standaard insette (gebruik "-f -") vir "ssh-keygen -L" ssh-keyscan (1): voeg "ssh- keyscan -c ... "vlag om sertifikate te laat haal in plaas van gewone sleutels.
  • ssh (1): beter hanteer verankerde FQDNs (bv. 'cvs.openbsd.org.') in die kanonicalisering van hostname - behandel hulle as reeds kanoniek en verwyder die agterliggende '.' voordat u ssh_config aanpas.
  • Foutoplossings:
  • sftp (1): Bestaande bestemmingsgidse moet nie rekursiewe oplaaie beëindig nie (regressie in openssh 6.8) bz # 2528
  • ssh (1), sshd (8): Stuur SSH2_MSG_UNIMPLEMENTED terug na onverwagte boodskappe tydens sleutelruil. BZ # 2949
  • ssh (1): weier pogings om ConnectionAttempts = 0 te stel, wat nie sin maak nie en sal veroorsaak dat ssh 'n uninitialized stack variable verander. BZ # 2500
  • ssh (1): maak foute op as u probeer om verbinding te maak met geskikte IPv6-adresse met hostname kanonicalization enabled.
  • sshd_config (5): Lys 'n paar meer opsies wat bruikbaar is in Match blokke. BZ # 2489
  • sshd (8): Fix "PubkeyAcceptedKeyTypes + ..." binne 'n Match-blok. ssh (1): brei tode karakters in lêername uit na -i opsies voordat jy nagaan of die identiteitslêer bestaan ​​of nie. Vermy verwarring vir gevalle waar dop nie uitbrei nie (bv. "-i ~ / lêer" teen "-i ~ / lêer"). BZ # 2481
  • ssh (1): preek nie "exec" op die dopopdrag wat uitgevoer word deur "Match exec" in 'n config-lêer, wat sekere opdragte in sekere omgewings kan misluk. BZ # 2471
  • ssh-keyscan (1): herstel uitvoer vir verskeie hosts / addrs op een reël wanneer die host hashing of 'n nie standaard poort gebruik word bz # 2479
  • sshd (8): Slaan die boodskap "Kon nie by die tuisgids kry nie" wanneer ChrootDirectory aktief is. BZ # 2485
  • ssh (1): sluit PubkeyAcceptedKeyTypes in ssh-G config dump. sshd (8): vermy die verandering van TunnelForwarding toestel vlae as hulle reeds benodig word; maak dit moontlik om tun / tap netwerk as nie-root gebruiker te gebruik as toestemmings toestemmings en koppelvlakvlae vooraf ingestel is.
  • ssh (1), sshd (8): RekeyLimits kan met een pakkie oorskry word. BZ # 2521
  • ssh (1): Fix multiplexing meester versuim om kliënt uitgang te sien.
  • ssh (1), ssh-agent (1): vermy dodelike () vir PKCS11-tokens wat leë sleutel ID's bevat. BZ # 1773
  • sshd (8): vermy printf van NULL argument. BZ # 2535
  • ssh (1), sshd (8): laat RekeyLimits groter as 4GB toe. BZ # 2521
  • ssh-keygen (1): sshd (8): maak verskeie foute in (ongebruikte) KRL-handtekeningondersteuning.
  • ssh (1), sshd (8): maak verbindings met eweknieë wat gebruik maak van die sleutelruilgidsfunksie van die protokol. BZ # 2515
  • sshd (8): sluit die afgeleë poortnommer in log boodskappe in. BZ # 2503
  • ssh (1): probeer nie SSHv1 privaat sleutel laai wanneer dit saamgestel word sonder SSHv1 ondersteuning. BZ # 2505
  • ssh-agent (1), ssh (1): maak foutiewe foutboodskappe tydens sleutel laai en ondertekenfoute. BZ # 2507
  • ssh-keygen (1): verlaat nie leë tydelike lêers wanneer bekende_hosts lêer wysigings uitgevoer word wanneer bekende_hosts nie bestaan ​​nie.
  • sshd (8): korrekte pakketformaat vir tcpip-forward antwoorde vir versoeke wat nie 'n poort bz # 2509 toeken nie
  • ssh (1), sshd (8): fix moontlik hang aan geslote uitset. bz # 2469 ssh (1): expand% i in ControlPath na UID. BZ # 2449
  • ssh (1), sshd (8): herstel retour tipe opensh_RSA_verify. BZ # 2460
  • ssh (1), sshd (8): los 'n opsie om geheue lekkasies te ontleed. BZ # 2182
  • ssh (1): voeg 'n paar debug-uitvoer voor DNS-resolusie; Dit is 'n plek waar ssh voorheen stil kon stal in gevalle van DNS-bedieners wat nie reageer nie. bz # 2433 ssh (1): verwyder nuwe newline in visuele hostkey. BZ # 2686
  • ssh (1): fix druk (ssh-G ...) van HostKeyAlgorithms = + ...
  • ssh (1): herstel uitbreiding van HostkeyAlgorithms = + ...
  • Dokumentasie:
  • ssh_config (5), sshd_config (5): werk standaard algoritme lyste om die huidige werklikheid te pas. BZ # 2527
  • ssh (1): noem -Q sleutel-plain en -Q sleutel-cert navraag opsies. BZ # 2455
  • sshd_config (8): Beskryf duideliker wat AuthorizedKeysFile = niemand doen nie.
  • ssh_config (5): beter dokument ExitOnForwardFailure. BZ # 2444
  • sshd (5): noem interne DH-GEX-terugslaggroepe in die handleiding. BZ # 2302
  • sshd_config (5): beter beskrywing vir MaxSessions opsie. BZ # 2531
  • Oordraagbaarheid:
  • ssh (1), sftp-bediener (8), ssh-agent (1), sshd (8): Ondersteun Illumos / Solaris fynkorrelige voorregte. Insluitende 'n pre-auth privsep sandbox en verskeie belofte () emulasies. BZ # 2511
  • Herstel redhat / openssh.spec, verwydering van vervalde opsies en sintaksis.
  • instel: laat toe - sonder ssl-enjin met - sonder oopslap
  • sshd (8): maak verskeie verifikasie met S / Sleutel. BZ # 2502
  • sshd (8): lees terug van libcrypto RAND_voor val regte. Vermy sandboxing oortredings met BoringSSL.
  • Bevestig naambotsing met stelselgegewe glob (3) funksies. BZ # 2463
  • Pasmaak Makefile om ssh-keygen te gebruik -A wanneer genereer sleutelsleutels. BZ # 2459
  • instel: korrekte standaard waarde vir --with-ssh1 bz # 2457
  • instel: beter opsporing van _res simbool bz # 2259
  • ondersteun getrandom () syscall op Linux

Wat is nuut in weergawe 7.1:

  • Sekuriteit:
  • sshd (8): OpenSSH 7.0 bevat 'n logiese fout in PermitRootLogin = verbied-wagwoord / sonder wagwoord wat, afhangende van die samestelling-tydkonfigurasie, toelaat dat wagwoordverifikasie wortel word terwyl ander vorms van verifikasie voorkom word. Hierdie probleem is deur Mantas Mikulenas gerapporteer.
  • Foutoplossings:
  • ssh (1), sshd (8): voeg verenigbaarheidsoplossings vir FuTTY by
  • ssh (1), sshd (8): verfyn verenigbaarheidsoplossings vir WinSCP
  • Stel 'n aantal geheuefoute (dubbelvry, vry van ongeïnstialiseerde geheue, ens.) in ssh (1) en ssh-keygen (1) vas. Aangemeld deur Mateusz Kocielski.

22 Jun 18

Ander sagteware ontwikkelaar OpenBSD Project

Portable OpenSSH
Portable OpenSSH

22 Jun 18

OpenSMTPD
OpenSMTPD

28 Sep 15

Kommentaar te OpenSSH

Kommentaar nie gevind
Kommentaar te lewer
Draai op die foto!
Soek op kategorie
Die gewilde sagteware