OpenSSH

צילום מסך תוכנה:
OpenSSH
פרטי תוכנה:
גרסה: 7.7 מעודכן
טען תאריך: 22 Jun 18
מפתחים: OpenBSD Project
רשיון: ללא תשלום
פופולריות: 88

Rating: nan/5 (Total Votes: 0)

OpenSSH הוא פרוייקט תוכנה המופץ בחופשיות ובקוד פתוח, ספריה ותוכנית שורת פקודה שפועלת ברקע מערכת ההפעלה גנו / לינוקס ומגינה על הרשת כולה מפני פולשים ותוקפים. זוהי גרסה קוד פתוח של SSH (Secure Shell) מפרט, שתוכננה במיוחד עבור


תכונות במבט אחד

OpenSSH הוא פרוייקט קוד פתוח המופץ תחת רישיון חופשי. הוא מציע אימות חזק המבוסס על מפתח ציבורי, אימות Kerberos וסטנדרטים חד-פעמיים של סיסמה, הצפנה חזקה המבוססת על AES, Blowfish, Arcfour ו- 3DES אלגוריתמים, תמיכה ב- X11 על ידי הצפנת כל מערכת X Window System, וכן AFS ו- כרטיס Kerberos עובר.

בנוסף, התמיכה ביציאת תכונות התוכנה של התוכנה תומכת בהצפנת ערוצים עבור פרוטוקולים מדור קודם, תמיכה בדחיסת נתונים, תמיכה בהעברת סוכן באמצעות תקן האימות של כניסה יחידה (SSO) ו- SFTP (Secure FTP) ותמיכת לקוחות SSH2 או SSH1.

תכונה מעניינת נוספת היא יכולת פעולה הדדית, מה שאומר שהפרויקט תואם לגרסאות 1.3, 1.5 ו- 2.0 של פרוטוקול SSH המקורי (Secure Shell). לאחר ההתקנה, OpenSSH יחליף באופן אוטומטי את התוכניות הרגילות של FTP, Telnet, RCP ו- Rlogin עם גירסאות מאובטחות של אותם, כגון SFTP, SCP ו- SSH.


מתחת למכסה המנוע, זמינות ומערכות הפעלה נתמכות

הפרויקט OpenSSH כתוב כולו בשפת התכנות C. הוא כלל את יישום SSH הראשי ואת הדמון SSH, אשר פועל ברקע. התוכנה מופצת בעיקר כארכיון מקורות אוניברסלי, שיפעל עם כל מערכות ההפעלה של גנו / לינוקס בארכיטקטורות של 32 סיביות ו- 64 סיביות.


Portable OpenSHH

גרסה ניידת של פרוטוקול OpenSSH זמינה גם להורדה ב Softoware, ללא תשלום, שנקרא Portable OpenSSH. זהו יישום קוד פתוח של גרסת SSH 1 ו- SSH גירסה 2 עבור מערכות ההפעלה Linux, BSD ו- Solaris.

מה חדש במהדורה זו:

  • שינויים שאינם תואמים-פוטנציאליים:
  • גרסה זו כוללת מספר שינויים שעשויים להשפיע על תצורות קיימות:
  • מהדורה זו מסירה את תמיכת השרת עבור פרוטוקול SSH v.1.
  • ssh (1): הסר את 3des-cbc מהצעת ברירת המחדל של הלקוח. 64 סיביות בלוק ciphers אינם בטוחים בשנת 2016 ואנחנו לא רוצים לחכות עד התקפות כמו SWEET32 מורחבות SSH. כמו 3des-cbc היה הצופן המנדט היחיד SSH RFCs, זה עלול לגרום לבעיות חיבור למכשירים ישנים יותר באמצעות תצורת ברירת המחדל, אבל זה מאוד סביר כי מכשירים כאלה כבר צריך תצורה מפורשת עבור חילופי מפתח אלגוריתמים מפתח כבר בכל מקרה. sshd (8): הסר תמיכה עבור דחיסה מראש אימות. ביצוע דחיסה מוקדם בפרוטוקול כנראה נראה סביר בשנות התשעים, אבל היום זה בבירור רעיון רע במונחים של קריפטוגרפיה (ראה מתקפות דחיסה מרובות ב- TLS) ומשטח ההתקפה. תמיכה דחיסת טרום-דחיית הושבתה כברירת מחדל למשך 10 שנים. התמיכה נותרת אצל הלקוח. ssh-agent יסרב לטעון את המודולים PKCS # 11 מחוץ לרשימה הלבנה של נתיבים מהימנים כברירת מחדל. רשימת ההיתרים של הנתיב עשויה להיות מוגדרת בזמן ריצה.
  • sshd (8): כאשר הפקודה הכפויה מופיעה בתעודה ובפקודת מורשים / מנהלים = הגבלה, sshd יסרב לקבל את התעודה, אלא אם כן הם זהים. התנהגות קודמת (מתועד) של בעל תעודת הפקודה נאלץ לשנות את השני יכול להיות קצת מבלבל ונוטה שגיאה. sshd (8): הסר את הנחיות התצורה של UseLogin ותומך בהפעלת / התחברות / כניסה לניהול הפעלות כניסה.
  • שינויים מאז OpenSSH 7.3:
  • אבטחה:
  • ssh-agent (1): כעת תסרב לטעון את המודולים PKCS # 11 מנתיבים מחוץ לרשימת היתרים מהימנה (זמן ריצה הניתן להגדרה). בקשות להעלאת מודולים יכולות להיות מועברות באמצעות העברת סוכן ותוקף יכול לנסות לטעון מודול PKCS # 11 עוינת על פני ערוץ הסוכן המועבר: המודולים של PKCS # 11 הם ספריות משותפות, ולכן פעולה זו תביא לביצוע קוד במערכת ההפעלה ssh - אם יש לתוקף שליטה על שקע הסוכן המועבר (על השרת המארח את שרת ה- sshd) והיכולת לכתוב למערכת הקבצים של המארח הפועל ssh-agent (בדרך כלל המארח המריץ את לקוח ה- SSH). דווח על ידי Jann Horn של פרויקט אפס.
  • sshd (8): כאשר הפרדת הרשאות מושבתת, יועברו שקעי Unix-domain על-ידי sshd (8) עם ההרשאות של 'שורש' במקום המשתמש המאומת. מהדורה זו מסרבת העברת Socket של Unix-domain כאשר הפרדת הרשאות מושבתת (הפרדת הרשאות מופעלת כברירת מחדל במשך 14 שנים). דווח על ידי Jann Horn של פרויקט אפס.
  • sshd (8): הימנע דליפה תיאורטית של המארח מפתח פרטי הפרט לתהליכים מופרדים הילד מופרדים באמצעות realloc () בעת קריאת מפתחות. אף דליפה כזו לא נצפתה בפועל עבור מפתחות בגודל רגיל, וגם דליפה לילד תהליכים ישירות לחשוף חומר מפתח למשתמשים חסרי. דווח על ידי Jann Horn של פרויקט אפס.
  • sshd (8): מנהל הזיכרון המשותף שבו נעשה שימוש בתמיכה לדחיסה מראש לאימות היה בעל בדיקות בדיקה שעלולות להיות מונעות על ידי כמה מהדרים אופטימיזציה. בנוסף לכך, מנהל זיכרון זה היה נגיש באופן שגוי כאשר דחיסת האימות המוקדם הושבתה. הדבר עשוי לאפשר התקפות נגד תהליך הפיקוח המיוחס מתהליך ההפרדה בין ארגז החול (פשרה זו תידרש תחילה). מהדורה זו מסירה תמיכה דחיסה מראש אימות מ sshd (8). דווח על ידי Guido Vranken באמצעות סטאק לא יציב אופטימיזציה כלי זיהוי (http://css.csail.mit.edu/stack/)
  • sshd (8): תקן מצב של מניעת שירות שבו תוקף ששולח מספר הודעות KEXINIT עשוי לצרוך עד 128MB לכל חיבור. דווח על ידי שי ליי של קבוצת ציוד, Qihoo 360.
  • sshd (8): אמת טווחי כתובות עבור הנחיות AllowUser ו- DenyUsers בזמן טעינת התצורה וסרב לקבל הודעות לא חוקיות. בעבר ניתן היה לציין טווחי כתובות לא חוקיים של CIDR (לדוגמה, user@127.1.2.3/55), ואלה תמיד יתאימו, וייתכן שיביאו למתן גישה למקום שבו היא לא נועדה. דווח על ידי לורנס פארי.
  • תכונות חדשות:
  • ssh (1): הוסף מצב ריבוב פרוקסי ל- ssh (1) בהשראת הגרסה ב- PuTTY על ידי סיימון Tatham. זה מאפשר ללקוח multiplexing לתקשר עם תהליך מאסטר באמצעות משנה של מנות SSH פרוטוקול ערוצים על שקע יוניקס תחום, עם התהליך הראשי מתנהג כמו proxy המתרגם מזהי ערוץ וכו 'זה מאפשר מצב ריבוב כדי לפעול על מערכות שחסרות בהן העברת קובץ מתאר (המשמשות את קוד ההעתקה הנוכחי) ואפשרות, בשילוב עם העברת Socket של Unix-domain, עם התהליך הראשי של הלקוח והרב-ריבוי במכונות שונות. ניתן להשתמש במצב proxy של פרוקסי באמצעות פרוקסי & quot; ssh-o ... & quot;
  • sshd (8): הוסף אפשרות sshd_config disableForwarding אשר משביתה X11, סוכן, TCP, מנהרה והעברת SIX של תחום Unix, כמו גם כל דבר אחר שאנו עשויים ליישם בעתיד. בדומה לדגל 'הגבלת' author_keys, זה נועד להיות דרך פשוטה ומבטיחה לעתיד להגבלת חשבון.
  • sshd (8), ssh (1): תמיכה ב- & quot; curve25519-sha256 & quot; שיטת החלפת מפתח. זה זהה לשיטה הנתמכת כעת בשם & quot; curve25519-sha256@libssh.org"
  • sshd (8): לשפר את הטיפול של SIGHUP על ידי סימון כדי לראות אם shdd כבר daemonised בעת ההפעלה ו מדלג על השיחה daemon (3) אם זה. זה מבטיח כי SIGHUP מחדש של sshd (8) ישמור על אותו תהליך מזהה כמו הביצוע הראשוני. sshd (8) גם כעת לבטל את הקישור PidFile לפני הפעלה מחדש SIGHUP וליצור אותו מחדש לאחר הפעלה מוצלחת, במקום להשאיר קובץ מעופש במקרה של שגיאת תצורה. bz # 2641
  • sshd (8): אפשר הנחיות ClientAliveInterval ו- ClientAliveCountMax להופיע ב- sshd_config קוביות התאמה.
  • sshd (8): הוסף% -מזימות ל - AuthorizedPrincipalsCommand כדי להתאים לאלה הנתמכים על ידי AuthorizedKeysCommand (מפתח, סוג מפתח, טביעת אצבע וכו ') ועוד כמה כדי לספק גישה לתוכן התעודה המוצעת. >
  • בדיקות רגרסיה נוספות עבור התאמת מחרוזות, התאמת כתובת ופונקציות מחלת השחלות.
  • שיפור רתמת ההחלפה של מפתח החליפין.
  • תיקוני באגים:
  • ssh (1): אפשר לזהות לזהות ולטעון בהצלחה אישורים שאין להם מפתח ציבורי עירום תואם. bz # 2617 אישור id_rsa-cert.pub (ולא id_rsa.pub).
  • ssh (1): תקן אימות מפתח ציבורי כאשר אימות מרובים נמצא בשימוש, וה- Publickey הוא לא רק השיטה הראשונה שניסתה. bz # 2642
  • regress: אפשר לבדיקות interopTY של PuTTY לפעול ללא השגחה. bz # 2639
  • ssh-agent (1), ssh (1): לשפר את הדיווח בעת ניסיון לטעון מפתחות מ- PKCS # 11 אסימונים עם פחות הודעות יומן חסרות תועלת ופרטים נוספים בהודעות debug. bz # 2610
  • ssh (1): בעת קריעת חיבורי ControlMaster, אל תזהם stderr כאשר LogLevel = שקט.
  • sftp (1): On ^ Z המתן עד ש- ssh (1) להשהות לפני השעיית sftp (1) כדי לוודא ש- ssh (1) משחזר את מצב הטרמינל בצורה נכונה אם הוא מושעה במהלך הודעת סיסמה.
  • ssh (1): הימנע מלהמתין כאשר ssh (1) מושעה במהלך הודעת סיסמה.
  • ssh (1), sshd (8): דווח על שגיאות נכון במהלך שליחת הודעות ext-info.
  • sshd (8): תיקון NULL-deref crash אם sshd (8) קיבל הודעת out-sequence NewKEYS.
  • sshd (8): רשימה נכונה של אלגוריתמים של חתימה נתמכת שנשלחו בתוסף השרת sig-algs. bz # 2547
  • sshd (8): תיקון שליחת הודעה ext_info אם privsep מושבת.
  • sshd (8): יש להקפיד יותר לאכוף את הסדר הצפוי של פרידת ההפרדה בין השיחות המשמשות לאימות ולאפשר אותן רק כאשר שיטות האימות המתאימות שלהן מופעלות בתצורה
  • sshd (8): תקן optlen uninitialized ב gotockopt () שיחה; לא מזיק על יוניקס / BSD אבל פוטנציאל לקרוס על Cygwin.
  • תקן דוחות חיוביים כוזבים הנגרמים על ידי express_bzero (3) שלא מזוהים כמחבר זיכרון בעת ​​הידור עם - הזנת זיכרון. sshd_config (5): השתמש 2001: db8 :: / 32, המשנה הרשמית של IPv6 עבור דוגמאות תצורה.
  • ניידות:
  • בסביבות המוגדרות עם מיקומים טורקיים, לחזור לאזור C / POSIX כדי למנוע שגיאות בניתוח התצורה שנגרמה על ידי הטיפול הייחודי של האזור של האותיות 'אני' ו 'אני'. bz # 2643
  • sftp-server (8), ssh-agent (1): דחה את ptrace ב- OS X באמצעות ptrace (PT_DENY_ATTACH, ..)
  • ssh (1), sshd (8): Unbreak CEShers AES-CTR ב- OpenSSL ישן (~ 0.9.8).
  • תקן את הידור עבור libcrypto הידור ללא תמיכה RIPEMD160.
  • contrib: הוספת gnome-ssh-askpass3 עם תמיכה ב- GTK + 3. bz # 2640 sshd (8): שפר PRNG reseeding על פני הפרדת הרשאות כוח libcrypto להשיג זרע באיכות גבוהה לפני chroot או sandboxing.
  • הכל: בדוק במפורש את השבר השבור. NetBSD הוסיף strnvis ולמרבה הצער עשה את זה לא תואם עם הקיים ב OpenBSD ו libbsd של לינוקס (לשעבר היה קיים במשך עשר שנים). נסו לזהות את הבלגן הזה, ותניחו את האפשרות הבטוחה היחידה רק אם אנחנו חוצים יחד.

מה חדש בגרסה:

  • שינויים שאינם תואמים-פוטנציאליים:
  • גרסה זו כוללת מספר שינויים שעשויים להשפיע על תצורות קיימות:
  • מהדורה זו מסירה את תמיכת השרת עבור פרוטוקול SSH v.1.
  • ssh (1): הסר את 3des-cbc מהצעת ברירת המחדל של הלקוח. 64 סיביות בלוק ciphers אינם בטוחים בשנת 2016 ואנחנו לא רוצים לחכות עד התקפות כמו SWEET32 מורחבות SSH. כמו 3des-cbc היה הצופן המנדט היחיד SSH RFCs, זה עלול לגרום לבעיות חיבור למכשירים ישנים יותר באמצעות תצורת ברירת המחדל, אבל זה מאוד סביר כי מכשירים כאלה כבר צריך תצורה מפורשת עבור חילופי מפתח אלגוריתמים מפתח כבר בכל מקרה. sshd (8): הסר תמיכה עבור דחיסה מראש אימות. ביצוע דחיסה מוקדם בפרוטוקול כנראה נראה סביר בשנות התשעים, אבל היום זה בבירור רעיון רע במונחים של קריפטוגרפיה (ראה מתקפות דחיסה מרובות ב- TLS) ומשטח ההתקפה. תמיכה דחיסת טרום-דחיית הושבתה כברירת מחדל למשך 10 שנים. התמיכה נותרת אצל הלקוח. ssh-agent יסרב לטעון את המודולים PKCS # 11 מחוץ לרשימה הלבנה של נתיבים מהימנים כברירת מחדל. רשימת ההיתרים של הנתיב עשויה להיות מוגדרת בזמן ריצה.
  • sshd (8): כאשר הפקודה הכפויה מופיעה בתעודה ובפקודת מורשים / מנהלים = הגבלה, sshd יסרב לקבל את התעודה, אלא אם כן הם זהים. התנהגות קודמת (מתועד) של בעל תעודת הפקודה נאלץ לשנות את השני יכול להיות קצת מבלבל ונוטה שגיאה. sshd (8): הסר את הנחיות התצורה של UseLogin ותומך בהפעלת / התחברות / כניסה לניהול הפעלות כניסה.
  • שינויים מאז OpenSSH 7.3:
  • אבטחה:
  • ssh-agent (1): כעת תסרב לטעון את המודולים PKCS # 11 מנתיבים מחוץ לרשימת היתרים מהימנה (זמן ריצה הניתן להגדרה). בקשות להעלאת מודולים יכולות להיות מועברות באמצעות העברת סוכן ותוקף יכול לנסות לטעון מודול PKCS # 11 עוינת על פני ערוץ הסוכן המועבר: המודולים של PKCS # 11 הם ספריות משותפות, ולכן פעולה זו תביא לביצוע קוד במערכת ההפעלה ssh - אם יש לתוקף שליטה על שקע הסוכן המועבר (על השרת המארח את שרת ה- sshd) והיכולת לכתוב למערכת הקבצים של המארח הפועל ssh-agent (בדרך כלל המארח המריץ את לקוח ה- SSH). דווח על ידי Jann Horn של פרויקט אפס.
  • sshd (8): כאשר הפרדת הרשאות מושבתת, יועברו שקעי Unix-domain על-ידי sshd (8) עם ההרשאות של 'שורש' במקום המשתמש המאומת. מהדורה זו מסרבת העברת Socket של Unix-domain כאשר הפרדת הרשאות מושבתת (הפרדת הרשאות מופעלת כברירת מחדל במשך 14 שנים). דווח על ידי Jann Horn של פרויקט אפס.
  • sshd (8): הימנע דליפה תיאורטית של המארח מפתח פרטי הפרט לתהליכים מופרדים הילד מופרדים באמצעות realloc () בעת קריאת מפתחות. אף דליפה כזו לא נצפתה בפועל עבור מפתחות בגודל רגיל, וגם דליפה לילד תהליכים ישירות לחשוף חומר מפתח למשתמשים חסרי. דווח על ידי Jann Horn של פרויקט אפס.
  • sshd (8): מנהל הזיכרון המשותף שבו נעשה שימוש בתמיכה לדחיסה מראש לאימות היה בעל בדיקות בדיקה שעלולות להיות מונעות על ידי כמה מהדרים אופטימיזציה. בנוסף לכך, מנהל זיכרון זה היה נגיש באופן שגוי כאשר דחיסת האימות המוקדם הושבתה. הדבר עשוי לאפשר התקפות נגד תהליך הפיקוח המיוחס מתהליך ההפרדה בין ארגז החול (פשרה זו תידרש תחילה). מהדורה זו מסירה תמיכה דחיסה מראש אימות מ sshd (8). דווח על ידי Guido Vranken באמצעות סטאק לא יציב אופטימיזציה כלי זיהוי (http://css.csail.mit.edu/stack/)
  • sshd (8): תקן מצב של מניעת שירות שבו תוקף ששולח מספר הודעות KEXINIT עשוי לצרוך עד 128MB לכל חיבור. דווח על ידי שי ליי של קבוצת ציוד, Qihoo 360.
  • sshd (8): אמת טווחי כתובות עבור הנחיות AllowUser ו- DenyUsers בזמן טעינת התצורה וסרב לקבל הודעות לא חוקיות. בעבר ניתן היה לציין טווחי כתובות לא חוקיים של CIDR (לדוגמה, user@127.1.2.3/55), ואלה תמיד יתאימו, וייתכן שיביאו למתן גישה למקום שבו היא לא נועדה. דווח על ידי לורנס פארי.
  • תכונות חדשות:
  • ssh (1): הוסף מצב ריבוב פרוקסי ל- ssh (1) בהשראת הגרסה ב- PuTTY על ידי סיימון Tatham. זה מאפשר ללקוח multiplexing לתקשר עם תהליך מאסטר באמצעות משנה של מנות SSH פרוטוקול ערוצים על שקע יוניקס תחום, עם התהליך הראשי מתנהג כמו proxy המתרגם מזהי ערוץ וכו 'זה מאפשר מצב ריבוב כדי לפעול על מערכות שחסרות בהן העברת קובץ מתאר (המשמשות את קוד ההעתקה הנוכחי) ואפשרות, בשילוב עם העברת Socket של Unix-domain, עם התהליך הראשי של הלקוח והרב-ריבוי במכונות שונות. ניתן להשתמש במצב proxy של פרוקסי באמצעות פרוקסי & quot; ssh-o ... & quot;
  • sshd (8): הוסף אפשרות sshd_config disableForwarding אשר משביתה X11, סוכן, TCP, מנהרה והעברת SIX של תחום Unix, כמו גם כל דבר אחר שאנו עשויים ליישם בעתיד. בדומה לדגל 'הגבלת' author_keys, זה נועד להיות דרך פשוטה ומבטיחה לעתיד להגבלת חשבון.
  • sshd (8), ssh (1): תמיכה ב- & quot; curve25519-sha256 & quot; שיטת החלפת מפתח. זה זהה לשיטה הנתמכת כעת בשם & quot; curve25519-sha256@libssh.org"
  • sshd (8): לשפר את הטיפול של SIGHUP על ידי סימון כדי לראות אם shdd כבר daemonised בעת ההפעלה ו מדלג על השיחה daemon (3) אם זה. זה מבטיח כי SIGHUP מחדש של sshd (8) ישמור על אותו תהליך מזהה כמו הביצוע הראשוני. sshd (8) גם כעת לבטל את הקישור PidFile לפני הפעלה מחדש SIGHUP וליצור אותו מחדש לאחר הפעלה מוצלחת, במקום להשאיר קובץ מעופש במקרה של שגיאת תצורה. bz # 2641
  • sshd (8): אפשר הנחיות ClientAliveInterval ו- ClientAliveCountMax להופיע ב- sshd_config קוביות התאמה.
  • sshd (8): הוסף% -מזימות ל - AuthorizedPrincipalsCommand כדי להתאים לאלה הנתמכים על ידי AuthorizedKeysCommand (מפתח, סוג מפתח, טביעת אצבע וכו ') ועוד כמה כדי לספק גישה לתוכן התעודה המוצעת. >
  • בדיקות רגרסיה נוספות עבור התאמת מחרוזות, התאמת כתובת ופונקציות מחלת השחלות.
  • שיפור רתמת ההחלפה של מפתח החליפין.
  • תיקוני באגים:
  • ssh (1): אפשר לזהות לזהות ולטעון בהצלחה אישורים שאין להם מפתח ציבורי עירום תואם. bz # 2617 אישור id_rsa-cert.pub (ולא id_rsa.pub).
  • ssh (1): תקן אימות מפתח ציבורי כאשר אימות מרובים נמצא בשימוש, וה- Publickey הוא לא רק השיטה הראשונה שניסתה. bz # 2642
  • regress: אפשר לבדיקות interopTY של PuTTY לפעול ללא השגחה. bz # 2639
  • ssh-agent (1), ssh (1): לשפר את הדיווח בעת ניסיון לטעון מפתחות מ- PKCS # 11 אסימונים עם פחות הודעות יומן חסרות תועלת ופרטים נוספים בהודעות debug. bz # 2610
  • ssh (1): בעת קריעת חיבורי ControlMaster, אל תזהם stderr כאשר LogLevel = שקט.
  • sftp (1): On ^ Z המתן עד ש- ssh (1) להשהות לפני השעיית sftp (1) כדי לוודא ש- ssh (1) משחזר את מצב הטרמינל בצורה נכונה אם הוא מושעה במהלך הודעת סיסמה.
  • ssh (1): הימנע מלהמתין כאשר ssh (1) מושעה במהלך הודעת סיסמה.
  • ssh (1), sshd (8): דווח על שגיאות נכון במהלך שליחת הודעות ext-info.
  • sshd (8): תיקון NULL-deref crash אם sshd (8) קיבל הודעת out-sequence NewKEYS.
  • sshd (8): רשימה נכונה של אלגוריתמים של חתימה נתמכת שנשלחו בתוסף השרת sig-algs. bz # 2547
  • sshd (8): תיקון שליחת הודעה ext_info אם privsep מושבת.
  • sshd (8): יש להקפיד יותר לאכוף את הסדר הצפוי של פרידת ההפרדה בין השיחות המשמשות לאימות ולאפשר אותן רק כאשר שיטות האימות המתאימות שלהן מופעלות בתצורה
  • sshd (8): תקן optlen uninitialized ב gotockopt () שיחה; לא מזיק על יוניקס / BSD אבל פוטנציאל לקרוס על Cygwin.
  • תקן דוחות חיוביים כוזבים הנגרמים על ידי express_bzero (3) שלא מזוהים כמחבר זיכרון בעת ​​הידור עם - הזנת זיכרון. sshd_config (5): השתמש 2001: db8 :: / 32, המשנה הרשמית של IPv6 עבור דוגמאות תצורה.
  • ניידות:
  • בסביבות המוגדרות עם מיקומים טורקיים, לחזור לאזור C / POSIX כדי למנוע שגיאות בניתוח התצורה שנגרמה על ידי הטיפול הייחודי של האזור של האותיות 'אני' ו 'אני'. bz # 2643
  • sftp-server (8), ssh-agent (1): דחה את ptrace ב- OS X באמצעות ptrace (PT_DENY_ATTACH, ..)
  • ssh (1), sshd (8): Unbreak CEShers AES-CTR ב- OpenSSL ישן (~ 0.9.8).
  • תקן את הידור עבור libcrypto הידור ללא תמיכה RIPEMD160.
  • contrib: הוספת gnome-ssh-askpass3 עם תמיכה ב- GTK + 3. bz # 2640 sshd (8): שפר PRNG reseeding על פני הפרדת הרשאות כוח libcrypto להשיג זרע באיכות גבוהה לפני chroot או sandboxing.
  • הכל: בדוק במפורש את השבר השבור. NetBSD הוסיף strnvis ולמרבה הצער עשה את זה לא תואם עם הקיים ב OpenBSD ו libbsd של לינוקס (לשעבר היה קיים במשך עשר שנים). נסו לזהות את הבלגן הזה, ותניחו את האפשרות הבטוחה היחידה רק אם אנחנו חוצים יחד.

מה חדש בגירסה 7.4:

  • שינויים שאינם תואמים פוטנציאליים:
  • גרסה זו כוללת מספר שינויים שעשויים להשפיע על תצורות קיימות:
  • מהדורה זו מסירה את תמיכת השרת עבור פרוטוקול SSH v.1.
  • ssh (1): הסר את 3des-cbc מהצעת ברירת המחדל של הלקוח. 64 סיביות בלוק ciphers אינם בטוחים בשנת 2016 ואנחנו לא רוצים לחכות עד התקפות כמו SWEET32 מורחבות SSH. כמו 3des-cbc היה הצופן המנדט היחיד SSH RFCs, זה עלול לגרום לבעיות חיבור למכשירים ישנים יותר באמצעות תצורת ברירת המחדל, אבל זה מאוד סביר כי מכשירים כאלה כבר צריך תצורה מפורשת עבור חילופי מפתח אלגוריתמים מפתח כבר בכל מקרה. sshd (8): הסר תמיכה עבור דחיסה מראש אימות. ביצוע דחיסה מוקדם בפרוטוקול כנראה נראה סביר בשנות התשעים, אבל היום זה בבירור רעיון רע במונחים של קריפטוגרפיה (ראה מתקפות דחיסה מרובות ב- TLS) ומשטח ההתקפה. תמיכה דחיסת טרום-דחיית הושבתה כברירת מחדל למשך 10 שנים. התמיכה נותרת אצל הלקוח. ssh-agent יסרב לטעון את המודולים PKCS # 11 מחוץ לרשימה הלבנה של נתיבים מהימנים כברירת מחדל. רשימת ההיתרים של הנתיב עשויה להיות מוגדרת בזמן ריצה.
  • sshd (8): כאשר הפקודה הכפויה מופיעה בתעודה ובפקודת מורשים / מנהלים = הגבלה, sshd יסרב לקבל את התעודה, אלא אם כן הם זהים. התנהגות קודמת (מתועד) של בעל תעודת הפקודה נאלץ לשנות את השני יכול להיות קצת מבלבל ונוטה שגיאה. sshd (8): הסר את הנחיות התצורה של UseLogin ותומך בהפעלת / התחברות / כניסה לניהול הפעלות כניסה.
  • שינויים מאז OpenSSH 7.3:
  • אבטחה:
  • ssh-agent (1): כעת תסרב לטעון את המודולים PKCS # 11 מנתיבים מחוץ לרשימת היתרים מהימנה (זמן ריצה הניתן להגדרה). בקשות להעלאת מודולים יכולות להיות מועברות באמצעות העברת סוכן ותוקף יכול לנסות לטעון מודול PKCS # 11 עוינת על פני ערוץ הסוכן המועבר: המודולים של PKCS # 11 הם ספריות משותפות, ולכן פעולה זו תביא לביצוע קוד במערכת ההפעלה ssh - אם יש לתוקף שליטה על שקע הסוכן המועבר (על השרת המארח את שרת ה- sshd) והיכולת לכתוב למערכת הקבצים של המארח הפועל ssh-agent (בדרך כלל המארח המריץ את לקוח ה- SSH). דווח על ידי Jann Horn של פרויקט אפס.
  • sshd (8): כאשר הפרדת הרשאות מושבתת, יועברו שקעי Unix-domain על-ידי sshd (8) עם ההרשאות של 'שורש' במקום המשתמש המאומת. מהדורה זו מסרבת העברת Socket של Unix-domain כאשר הפרדת הרשאות מושבתת (הפרדת הרשאות מופעלת כברירת מחדל במשך 14 שנים). דווח על ידי Jann Horn של פרויקט אפס.
  • sshd (8): הימנע דליפה תיאורטית של המארח מפתח פרטי הפרט לתהליכים מופרדים הילד מופרדים באמצעות realloc () בעת קריאת מפתחות. אף דליפה כזו לא נצפתה בפועל עבור מפתחות בגודל רגיל, וגם דליפה לילד תהליכים ישירות לחשוף חומר מפתח למשתמשים חסרי. דווח על ידי Jann Horn של פרויקט אפס.
  • sshd (8): מנהל הזיכרון המשותף שבו נעשה שימוש בתמיכה לדחיסה מראש לאימות היה בעל בדיקות בדיקה שעלולות להיות מונעות על ידי כמה מהדרים אופטימיזציה. בנוסף לכך, מנהל זיכרון זה היה נגיש באופן שגוי כאשר דחיסת האימות המוקדם הושבתה. הדבר עשוי לאפשר התקפות נגד תהליך הפיקוח המיוחס מתהליך ההפרדה בין ארגז החול (פשרה זו תידרש תחילה). מהדורה זו מסירה תמיכה דחיסה מראש אימות מ sshd (8). דווח על ידי Guido Vranken באמצעות סטאק לא יציב אופטימיזציה כלי זיהוי (http://css.csail.mit.edu/stack/)
  • sshd (8): תקן מצב של מניעת שירות שבו תוקף ששולח מספר הודעות KEXINIT עשוי לצרוך עד 128MB לכל חיבור. דווח על ידי שי ליי של קבוצת ציוד, Qihoo 360.
  • sshd (8): אמת טווחי כתובות עבור הנחיות AllowUser ו- DenyUsers בזמן טעינת התצורה וסרב לקבל הודעות לא חוקיות. בעבר ניתן היה לציין טווחי כתובות לא חוקיים של CIDR (לדוגמה, user@127.1.2.3/55), ואלה תמיד יתאימו, וייתכן שיביאו למתן גישה למקום שבו היא לא נועדה. דווח על ידי לורנס פארי.
  • תכונות חדשות:
  • ssh (1): הוסף מצב ריבוב פרוקסי ל- ssh (1) בהשראת הגרסה ב- PuTTY על ידי סיימון Tatham. זה מאפשר ללקוח multiplexing לתקשר עם תהליך מאסטר באמצעות משנה של מנות SSH פרוטוקול ערוצים על שקע יוניקס תחום, עם התהליך הראשי מתנהג כמו proxy המתרגם מזהי ערוץ וכו 'זה מאפשר מצב ריבוב כדי לפעול על מערכות שחסרות בהן העברת קובץ מתאר (המשמשות את קוד ההעתקה הנוכחי) ואפשרות, בשילוב עם העברת Socket של Unix-domain, עם התהליך הראשי של הלקוח והרב-ריבוי במכונות שונות. ניתן להשתמש במצב proxy של פרוקסי באמצעות "ssh-o proxy ..."
  • sshd (8): הוסף אפשרות sshd_config disableForwarding אשר משביתה X11, סוכן, TCP, מנהרה והעברת SIX של תחום Unix, כמו גם כל דבר אחר שאנו עשויים ליישם בעתיד. בדומה לדגל 'הגבלת' author_keys, זה נועד להיות דרך פשוטה ומבטיחה לעתיד להגבלת חשבון.
  • sshd (8), ssh (1): תמיכה בשיטת החליפין "curve25519-sha256". זה זהה לשיטה הנתמכת כעת בשם "curve25519-sha256@libssh.org".
  • sshd (8): לשפר את הטיפול של SIGHUP על ידי סימון כדי לראות אם shdd כבר daemonised בעת ההפעלה ו מדלג על השיחה daemon (3) אם זה. זה מבטיח כי SIGHUP מחדש של sshd (8) ישמור על אותו תהליך מזהה כמו הביצוע הראשוני. sshd (8) גם כעת לבטל את הקישור PidFile לפני הפעלה מחדש SIGHUP וליצור אותו מחדש לאחר הפעלה מוצלחת, במקום להשאיר קובץ מעופש במקרה של שגיאת תצורה. bz # 2641
  • sshd (8): אפשר הנחיות ClientAliveInterval ו- ClientAliveCountMax להופיע ב- sshd_config קוביות התאמה.
  • sshd (8): הוסף% -מזימות ל - AuthorizedPrincipalsCommand כדי להתאים לאלה הנתמכים על ידי AuthorizedKeysCommand (מפתח, סוג מפתח, טביעת אצבע וכו ') ועוד כמה כדי לספק גישה לתוכן התעודה המוצעת. >
  • בדיקות רגרסיה נוספות עבור התאמת מחרוזות, התאמת כתובת ופונקציות מחלת השחלות.
  • שיפור רתמת ההחלפה של מפתח החליפין.
  • תיקוני באגים:
  • ssh (1): אפשר לזהות לזהות ולטעון בהצלחה אישורים שאין להם מפתח ציבורי עירום תואם. bz # 2617 אישור id_rsa-cert.pub (ולא id_rsa.pub).
  • ssh (1): תקן אימות מפתח ציבורי כאשר אימות מרובים נמצא בשימוש, וה- Publickey הוא לא רק השיטה הראשונה שניסתה. bz # 2642
  • regress: אפשר לבדיקות interopTY של PuTTY לפעול ללא השגחה. bz # 2639
  • ssh-agent (1), ssh (1): לשפר את הדיווח בעת ניסיון לטעון מפתחות מ- PKCS # 11 אסימונים עם פחות הודעות יומן חסרות תועלת ופרטים נוספים בהודעות debug. bz # 2610
  • ssh (1): בעת קריעת חיבורי ControlMaster, אל תזהם stderr כאשר LogLevel = שקט.
  • sftp (1): On ^ Z המתן עד ש- ssh (1) להשהות לפני השעיית sftp (1) כדי לוודא ש- ssh (1) משחזר את מצב הטרמינל בצורה נכונה אם הוא מושעה במהלך הודעת סיסמה.
  • ssh (1): הימנע מלהמתין כאשר ssh (1) מושעה במהלך הודעת סיסמה.
  • ssh (1), sshd (8): דווח על שגיאות נכון במהלך שליחת הודעות ext-info.
  • sshd (8): תיקון NULL-deref crash אם sshd (8) קיבל הודעת out-sequence NewKEYS.
  • sshd (8): רשימה נכונה של אלגוריתמים של חתימה נתמכת שנשלחו בתוסף השרת sig-algs. bz # 2547
  • sshd (8): תיקון שליחת הודעה ext_info אם privsep מושבת.
  • sshd (8): יש להקפיד יותר לאכוף את הסדר הצפוי של פרידת ההפרדה בין השיחות המשמשות לאימות ולאפשר אותן רק כאשר שיטות האימות המתאימות שלהן מופעלות בתצורה
  • sshd (8): תקן optlen uninitialized ב gotockopt () שיחה; לא מזיק על יוניקס / BSD אבל פוטנציאל לקרוס על Cygwin.
  • תקן דוחות חיוביים כוזבים הנגרמים על ידי express_bzero (3) שלא מזוהים כמחבר זיכרון בעת ​​הידור עם - הזנת זיכרון. sshd_config (5): השתמש 2001: db8 :: / 32, המשנה הרשמית של IPv6 עבור דוגמאות תצורה.
  • ניידות:
  • בסביבות המוגדרות עם מיקומים טורקיים, לחזור לאזור C / POSIX כדי למנוע שגיאות בניתוח התצורה שנגרמה על ידי הטיפול הייחודי של האזור של האותיות 'אני' ו 'אני'. bz # 2643
  • sftp-server (8), ssh-agent (1): דחה את ptrace ב- OS X באמצעות ptrace (PT_DENY_ATTACH, ..)
  • ssh (1), sshd (8): Unbreak CEShers AES-CTR ב- OpenSSL ישן (~ 0.9.8).
  • תקן את הידור עבור libcrypto הידור ללא תמיכה RIPEMD160.
  • תורם: הוסף gnome-ssh-askpass3 עם תמיכה ב- GTK + 3. bz # 2640 sshd (8): שפר PRNG reseeding על פני הפרדת הרשאות כוח libcrypto להשיג זרע באיכות גבוהה לפני chroot או sandboxing.
  • הכל: בדוק במפורש עבור strnvis שבור. NetBSD הוסיף strnvis ולמרבה הצער עשה את זה לא תואם עם הקיים ב OpenBSD ו libbsd של לינוקס (לשעבר היה קיים במשך עשר שנים). נסו לזהות את הבלגן הזה, ותניחו את האפשרות הבטוחה היחידה רק אם אנחנו חוצים יחד.

מה חדש בגירסה 7.3:

  • אבטחה:
  • sshd (8): להקטין התקפה פוטנציאלית של מניעת שירות נגד קריפטה של ​​המערכת (3) באמצעות sshd (8). תוקף יכול לשלוח סיסמאות ארוכות מאוד שיגרמו לשימוש מופרז במעבד בקריפטה (3). sshd (8) מסרב לקבל בקשות אימות סיסמה באורך גדול מ 1024 תווים. דיווחו באופן עצמאי על ידי תומס Kuthan (אורקל), אנדרס Rojas ו חבייר Nieto.
  • sshd (8): להקטין הבדלי תזמון באימות סיסמאות שניתן להשתמש בהם כדי לזהות תקף משמות חשבון לא חוקיים כאשר סיסמאות ארוכות נשלחו אלגוריתמים מסוימים hashing הסיסמה נמצאים בשימוש בשרת. CVE-2016-6210, על ידי EddieEzra.Harari ב verint.com
  • ssh (1), sshd (8): תקן חולשה תזמון נצפתה ב CBC ריפוד הנגד אוקל. דווח על ידי ז'אן פול דגבריאלה, קני פטרסון, טורבן הנסן ומרטין אלברכט. שים לב כי Ciphers CBC מושבתים כברירת מחדל וכלולים רק עבור תאימות מדור קודם.
  • ssh (1), sshd (8): לשפר את הזמנת הפעולה של אימות MAC עבור הצפנת-מאק (ETM) מצב אלגוריתמים תחבורה MAC לאמת את MAC לפני פענוח כל הצפנה. זה מסיר את האפשרות של עיתוי הבדלים דליפה עובדות על התמליל, אם כי לא דליפה כזו נצפתה. דווח על ידי ז'אן פול דגבריאלה, קני פטרסון, טורבן הנסן ומרטין אלברכט. sshd (8): (נייד בלבד) התעלם Pars הסביבה VAR כאשר UseLogin = כן. אם PAM מוגדר לקריאת משתני סביבה שצוין על ידי המשתמש ו- UseLogin = yes ב- sshd_config, משתמש מקומי עוין עלול לתקוף / להיכנס / להתחבר באמצעות LD_PRELOAD או משתני סביבה דומים המוגדרים באמצעות PAM. CVE-2015-8325, נמצא על ידי Shayan Sadigh.
  • תכונות חדשות:
  • ssh (1): הוסף אפשרות ProxyJump ואת דגל שורת הפקודה המקביל כדי לאפשר עקיפה פשוטה באמצעות אחד או יותר SSH bastions או "המארחים לקפוץ".
  • ssh (1): הוסף אפשרות IdentityAgent כדי לאפשר ציון של שקעים ספציפיים של סוכן במקום לקבל אחד מהסביבה. ssh (1): אפשר ExitOnForwardFailure ו ClearAllForwardings להיות אופציונלי דרוס בעת שימוש ssh -W. bz # 2577
  • ssh (1), sshd (8): ליישם תמיכה עבור מצב מסוף IUTF8 לפי טיוטה-sgtatham-secsh-iutf8-00. sshd (1), sshd (8): הוסף תמיכה נוספת Diffie-Hellman 2K קבוע, 4K ו 8K קבוצות מ טיוטה- ietf-curdle-ssh-kex-sha2-03.
  • ssh-keygen (1), ssh (1), sshd (8): תמיכה בחתימות SHA256 ו- SHA512 בתעודות; ssh (1): הוסף הוראה עבור כל קובץ ssh_config (5).
  • ssh (1): התיר UTF-8 תווים בבאנרים לפני האימות שנשלחו מהשרת. bz # 2058
  • תיקוני באגים:
  • ssh (1), sshd (8): צמצם את רמת ה- syslog של כמה אירועי פרוטוקול נפוצים יחסית מ- LOG_CRIT. bz # 2585
  • sshd (8): דחה את AuthenticationMethods = "" בתצורות וקבל את AuthenticationMethods = עבור כל התנהגות ברירת המחדל שאינה דורשת אימות מרובה. bz # 2398
  • sshd (8): הסר מיושן ומטעה "אפשרי שבר- in! כאשר DNS קדמי או הפוך אינם תואמים. bz # 2585
  • ssh (1): סגור ControlPersist תהליך הרקע stderr למעט במצב debug או בעת כניסה ל- syslog. bz # 1988
  • שונות: הפוך תיאור PROTOCOL עבור ישיר-streamlocal@openssh.com ערוץ ההודעות הפתוחות להתאים את הקוד הפריסה. bz # 2529
  • ssh (1): רשומות כפולות LocalForward ו- RemoteForward כדי לתקן כשלים כאשר הן ExitOnForwardFailure ו- canonicalisation hostname מופעלים. bz # 2562
  • sshd (8): הסר fallback מ moduli לקובץ "primes" מיושן אשר הוצא משימוש בשנת 2001. bz # 2559.
  • sshd_config (5): תיאור נכון של UseDNS: הוא משפיע על עיבוד ss hostname עבור author_keys, not known_hosts; bz # 2554 ssh (1): תיקון אימות באמצעות מפתחות אישור בודדים בסוכן ללא מקשים פרטיים המתאימים במערכת הקבצים. bz # 2550
  • sshd (8): שלח ClientAliveInterval pings בעת הגדרת RekeyLimit מבוססת זמן; מנות מנותקות בעבר לא נשלחו. bz # 2252

מה חדש בגירסה 7.2:

  • אבטחה:
  • ssh (1), sshd (8): הסר קוד נדידה לא גמורה ולא בשימוש (כבר הושבת בכפייה ב- OpenSSH 7.1p2).
  • ssh (1): בטל את החזרה מהמעבר X11 לא מהימן להעברה מהימנה כאשר שרת X משבית את תוסף SECURITY.
  • ssh (1), sshd (8): הגדל את גודל המודול המינימלי הנתמך עבור חילופי דיפ-הלמן-הקבוצה ל -2048 סיביות.
  • sshd (8): סנדבוקסינג של pre-auth מופעל כעת כברירת מחדל (מהדורות קודמות אפשרו אותו להתקנות חדשות באמצעות sshd_config).
  • תכונות חדשות:
  • הכל: הוסף תמיכה לחתימות RSA באמצעות אלגוריתמי Hash של SHA-256/512 המבוססים על טיוטות rsa-dsa-sha2-256-03.txt ו- dra-ssh-ext-info-04.txt.
  • ssh (1): הוסף אפשרות AddKeysToAgent ללקוח שניתן להגדיר ל 'כן', 'לא', 'שאל' או 'אישור', וברירות המחדל ל 'לא'. כאשר מאופשר, מפתח פרטי המשמש לאימות יתווסף ל- ssh-agent אם הוא פועל (עם אישור מופעל אם הוגדר 'אישור').
  • sshd (8): הוספת אפשרות חדשה "author_keys" להגבלה הכוללת את כל ההגבלות העיקריות הנוכחיות והעתידיות (לא - * - העברה וכו '). בנוסף, הוסף גרסאות מתירניות של ההגבלות הקיימות, למשל "no-pty" - & gt; "pty". פעולה זו מפשטת את המשימה של הגדרת מפתחות מוגבלים ומבטיחה שהם מוגבלים ביותר, ללא תלות בהרשאות שאנו עשויים ליישם בעתיד. ssh (1): הוסף אפשרות ssh_config CertificateFile לרשימה מפורטת של אישורים. bz # 2436
  • ssh-keygen (1): אפשר ל- ssh-keygen לשנות את תגובת המפתח עבור כל הפורמטים הנתמכים.
  • ssh-keygen (1): אפשר טביעת אצבע מהקלדה הסטנדרטית, למשל. "ssh-keygen -lf -"
  • ssh-keygen (1): אפשר טביעת אצבע למספר מפתחות ציבוריים בקובץ, למשל. "ssh-keygen -lf ~ / .shsh / authorized_keys" bz # 1319
  • sshd (8): תמיכה "ללא" כארגומנט עבור sshd_config הקדמה ו ChrootDirectory. שימושי בתוך בלוקים התאמה לעקוף מחדל ברירת המחדל. bz # 2486
  • ssh-keygen) 1 (: אישורי תמיכה מרובים) אחד בכל שורה (וקריאה מקלט סטנדרטי) באמצעות "- f" (עבור "ssh-keygen -L" ssh-keyscan) 1 (: keyscan -c ... "כדי לאפשר אחזור אישורים במקום מפתחות פשוטים.
  • ssh (1): לטפל טוב יותר ב- FQDN מעוגנים (למשל 'cvs.openbsd.org') ב - canonicalisation של המארח - התייחס אליהם כאל קנוני כבר והסר את הנתיב '.' לפני התאמת ssh_config.
  • תיקוני באגים:
  • sftp (1): ספריות היעד הקיימות לא אמורות להסתיים בהעלאות רקורסיביות (רגרסיה ב- opensh 6.8) bz # 2528
  • ssh (1), sshd (8): שלח כראוי תגובות SSH2_MSG_UNIMPLEMENTED להודעות לא צפויות במהלך חילופי מפתח. bz # 2949
  • ssh (1): לסרב ניסיונות להגדיר ConnectionAttempts = 0, אשר לא הגיוני ו יגרום ssh להדפיס משתנה מחסנית uninitialised. bz # 2500
  • ssh (1): תקן שגיאות בעת ניסיון להתחבר לכתובות IPv6 שצוין עם הפעלת canonicalisation של המארח.
  • sshd_config (5): רשימה עוד כמה אפשרויות שמיש בלוקים התאמה. bz # 2489
  • sshd (8): תקן "PubkeyAcceptedKeyTypes + ..." בתוך בלוק התאמה. ssh (1): הרחב את תווים tilde בשמות קבצים שהועברו ל - i אפשרויות לפני בדיקת אם קובץ הזהות קיים או לא. מונע בלבול במקרים שבהם הפגז אינו מתרחב (לדוגמה, "~ ~ ~ / file" לעומת "- ~ ~ / file"). bz # 2481
  • ssh (1): אל תשלח "exec" לפקודת shell שתפעיל "Match exec" בקובץ config, דבר שעלול לגרום לכמה פקודות להיכשל בסביבות מסוימות. bz # 2471
  • ssh-keyscan (1): תקן פלט עבור מספר מארחים / adders בשורה אחת כאשר hashing מארח או יציאת לא סטנדרטית נמצאת בשימוש bz # 2479
  • sshd (8): דלג "לא יכול chdir כדי ספריית הבית" הודעה כאשר ChrootDirectory פעיל. bz # 2485
  • ssh (1): כולל PubkeyAcceptedKeyTypes ב- ssh -G config dump. sshd (8): הימנע משינוי TunnelForwarding דגלים המכשיר אם הם כבר מה שנדרש; מאפשרת להשתמש ברשת Tun / tap כמשתמש שאינו root, אם הרשאות ההתקנים ודגלי הממשק מוקמים מראש
  • ssh (1), sshd (8): ניתן לחרוג מ - RekeyLimits בחבילה אחת. bz # 2521
  • ssh (1): תיקון כשל של ריבוב מרבב כדי להבחין ביציאת לקוח.
  • ssh (1), ssh-agent (1): הימנע מקטלני () עבור אסימוני PKCS11 המציגים מזהי מפתח ריקים. bz # 1773
  • sshd (8): הימנע מ- printf של ארגומנט NULL. bz # 2535
  • ssh (1), sshd (8): לאפשר RekeyLimits גדול מ 4GB. bz # 2521
  • ssh-keygen (1): sshd (8): לתקן באגים מסוימים (בשימוש) KRL תמיכה חתימה.
  • ssh (1), sshd (8): תיקון קשרים עם עמיתים המשתמשים בתכונת ניחוש החליפין הבסיסית של הפרוטוקול. bz # 2515
  • sshd (8): כולל מספר יציאה מרוחק בהודעות יומן. bz # 2503
  • ssh (1): אל תנסה לטעון מפתח SSHv1 פרטי בעת הידור ללא תמיכה SSHv1. bz # 2505
  • ssh-agent (1), ssh (1): תקן הודעות שגיאה שגויות במהלך טעינת מפתח וטעויות חתימה. bz # 2507
  • ssh-keygen (1): אל תשאיר קבצים זמניים ריקים בעת ביצוע עריכות קובץ known_hosts כאשר known_hosts אינו קיים.
  • sshd (8): תבנית החבילה הנכונה לתגובות tcpip-for עבור בקשות שאינן מקצות bz # 2509
  • ssh (1), sshd (8): תיקון אפשרי לתלות על פלט סגור. bz # 2469 ssh (1): הרחב את% i ב- ControlPath ל- UID. bz # 2449
  • ssh (1), sshd (8): סוג החזרה לתקן של opensh_RSA_verify. bz # 2460
  • ssh (1), sshd (8): תקן אפשרות כלשהי לניתוח דליפות זיכרון. bz # 2182
  • ssh (1): הוסף פלט debug כלשהו לפני רזולוציית DNS; זה מקום שבו Ssh יכול בעבר להשתתק בשקט במקרים של שרתי DNS לא מגיבים. bz # 2433 ssh (1): להסיר newline מזויף ב. bz # 2686
  • ssh (1): תיקון הדפסה (ssh -G ...) של HostKeyAlgorithms = + ...
  • ssh (1): הרחבת תיקון של HostkeyAlgorithms = + ...
  • תיעוד:
  • ssh_config (5), sshd_config (5): לעדכן רשימות אלגוריתם ברירת מחדל כדי להתאים את המציאות הנוכחית. bz # 2527
  • ssh (1): אזכור -Q Key-simple ו- Q-cert key-cert options. bz # 2455
  • sshd_config (8): לתאר בצורה ברורה יותר מה AuthorizedKeysFile = אף אחד לא עושה זאת.
  • ssh_config (5): מסמך טוב יותר ExitOnForwardFailure. bz # 2444
  • sshd (5): הזכר את הקבוצות הפנימיות של DH-GEX ידנית. bz # 2302
  • sshd_config (5): תיאור טוב יותר עבור אפשרות MaxSessions. bz # 2531
  • ניידות:
  • ssh (1), sftp-server (8), ssh-agent (1), sshd (8): תמיכה בהרשאות של Illumos / Solaris. כולל מראש ארגז חול ארגז וכמה התחייבות () emulations. bz # 2511
  • שיפוץ redhat / openssh.spec, הסרת אפשרויות ותחביר משוערים.
  • configigure: allow --without-ssl-engine עם --without-openssl
  • sshd (8): תקן אימות מרובים באמצעות S / Key. bz # 2502
  • sshd (8): קרא חזרה מ- libcrypto RAND_ לפני הפלת הרשאות. מנע הפרות סנדבוקסינג עם BoringSSL.
  • התנגשות שם עם פונקציות גלובליות של המערכת (3). bz # 2463
  • להתאים את Makefile לשימוש ב- ssh-keygen -A בעת יצירת מקשי מארח. bz # 2459
  • קביעת תצורה: ערך ברירת המחדל הנכון עבור --with-ssh1 bz # 2457
  • הגדרה: זיהוי טוב יותר של סמל _res bz # 2259
  • support getrandom () syscall ב- Linux

מה חדש בגירסה 7.1:

  • אבטחה:
  • sshd (8): OpenSSH 7.0 הכיל שגיאת לוגיקה ב- PermitRootLogin = איסור סיסמה / סיסמה / ללא סיסמה, שעלולים להתאים את תצורת זמן ההידור, לאפשר אימות סיסמה לשורש תוך מניעת צורות אחרות של אימות. בעיה זו דווחה על ידי Mantas Mikulenas.
  • תיקוני באגים:
  • ssh (1), sshd (8): הוספת דרכים לעקיפת תאימות ל- FuTTY
  • ssh (1), sshd (8): לחדד את הדרכים לעקיפת הבעיה עבור WinSCP
  • תקן מספר תקלות בזיכרון (ללא תשלום, ללא זיכרון uninitialised וכו ') ב- ssh (1) ו- ssh-keygen (1). דווח על ידי Mateusz Kocielski.

תוכנות אחרות של יזם OpenBSD Project

Portable OpenSSH
Portable OpenSSH

22 Jun 18

OpenSMTPD
OpenSMTPD

28 Sep 15

תגובות ל OpenSSH

תגובות לא נמצא
להוסיף הערה
הפעל את התמונות!