OpenSSH ay isang malayang ipinamamahagi at open source software project, isang library at command-line na programa na tumatakbo sa background ng iyong operating system ng GNU / Linux at pinoprotektahan ang iyong buong network mula sa mga intruder at attackers. Ito ay ang open source na bersyon ng SSH (Secure Shell) na detalye, partikular na dinisenyo para sa
Mga tampok sa isang sulyap
Ang OpenSSH ay isang open source project na ipinamamahagi sa ilalim ng isang libreng lisensya. Nag-aalok ito ng matibay na pagpapatunay batay sa Public Key, Kerberos Authentication at One-Time na mga pamantayan ng Password, malakas na pag-encrypt batay sa AES, Blowfish, Arcfour at 3DES na mga algorithm, sinusuportahan ng X11 ang pag-forward sa pamamagitan ng pag-encrypt ng buong X Window System na trapiko, pati na rin ang AFS at Kerberos ticket passing.
Bukod pa rito, ang tampok ng software ay nagpapasa ng suporta sa port sa pamamagitan ng pag-encrypt ng mga channel para sa mga protocol ng legacy, suporta sa compression ng data, suporta sa pagpasa ng agent sa pamamagitan ng paggamit ng pamantayan ng pagpapatunay ng Single-Sign-On (SSO) at ng suporta ng server at client ng SFTP (Secure FTP) SSH2 o SSH1 protocol.
Ang isa pang kawili-wiling tampok ay interoperability, na nangangahulugan na ang proyekto ay sumusunod sa mga bersyon 1.3, 1.5 at 2.0 ng orihinal na SSH (Secure Shell) na protocol. Pagkatapos ng pag-install, awtomatikong papalitan ng OpenSSH ang karaniwang mga programa ng FTP, Telnet, RCP at rlogin na may mga secure na bersyon ng mga ito, tulad ng SFTP, SCP at SSH.
Sa ilalim ng hood, ang availability at suportadong OSes
Ang proyekto ng OpenSSH ay ganap na nakasulat sa wikang C programming. Ito ay binubuo ng pangunahing pagpapatupad ng SSH at ang SSH na daemon, na tumatakbo sa background. Ang software ay ibinahagi pangunahin bilang isang unibersal na mapagkukunan ng archive, na gagana sa anumang mga operating system ng GNU / Linux sa parehong 32-bit at 64-bit na mga arkitektura.
Portable OpenSSH
Ang isang portable na bersyon ng OpenSSH protocol ay magagamit din para sa pag-download sa Softoware, walang bayad, na tinatawag na Portable OpenSSH. Ito ay isang open source na pagpapatupad ng SSH bersyon 1 at SSH bersyon 2 protocol para sa Linux, BSD at Solaris operating system.
Ano ang bagong sa paglabas na ito:
- Mga potensyal na hindi katugma na mga pagbabago:
- Ang release na ito ay nagsasama ng ilang mga pagbabago na maaaring makaapekto sa mga umiiral nang configuration:
- Ang paglabas na ito ay nag-aalis ng suporta sa server para sa SSH v.1 protocol.
- ssh (1): Alisin ang 3des-cbc mula sa panukalang default ng kliyente. Ang 64-bit block ciphers ay hindi ligtas sa 2016 at hindi namin nais na maghintay hanggang ang mga pag-atake tulad ng SWEET32 ay pinalawig sa SSH. Tulad ng 3des-cbc ay ang tanging ipinag-uutos na cipher sa SSH RFCs, maaaring magdulot ito ng mga problema sa pagkonekta sa mas lumang mga aparato gamit ang default na pagsasaayos, ngunit malamang na ang mga naturang device ay nangangailangan ng tahasang pagsasaayos para sa mga key exchange at hostkey algorithm na mayroon ka pa rin. sshd (8): Alisin ang suporta para sa compression ng pre-authentication. Ang paggawa ng compression nang maaga sa protocol ay malamang na tila makatwirang sa dekada ng 1990, ngunit ngayon ito ay malinaw na isang masamang ideya sa mga tuntunin ng parehong cryptography (cf. maraming mga compression orakulo atake sa TLS) at pag-atake ibabaw. Ang suportang pre-auth compression ay hindi pinagana sa pamamagitan ng default para sa & gt; 10 taon. Ang suporta ay nananatili sa kliyente. tanggihan ng ssh-agent ang PKCS # 11 na mga module sa labas ng isang whitelist ng pinagkakatiwalaang mga landas sa pamamagitan ng default. Ang whitelist ng landas ay maaaring tinukoy sa run-time.
- sshd (8): Kapag ang isang sapilitang command ay lumilitaw sa parehong isang sertipiko at ng awtorisadong mga susi / punong-guro command = paghihigpit, tatanggihan na ngayon ng sshd ang sertipiko maliban kung pareho ang mga ito. Ang naunang (dokumentado) na pag-uugali ng pagkakaroon ng certificate sapilitang-command na pawalang-bisa ang iba ay maaaring maging isang bit nakalilito at madaling makamit ang error. sshd (8): Alisin ang direktiba at suporta ng UseLogin configuration para sa pagkakaroon ng / bin / login pamahalaan ang mga login session.
- Mga pagbabago mula noong OpenSSH 7.3:
- Seguridad:
- ssh-agent (1): Itatanggi na ngayon ang load PKCS # 11 na mga module mula sa mga landas sa labas ng isang pinagkakatiwalaang whitelist (run-time na maisasaayos). Ang mga kahilingan upang i-load ang mga module ay maaaring maipasa sa pamamagitan ng pagpasa ng ahente at ang isang magsasalakay ay maaaring magtangkang i-load ang isang pagalit PKCS # 11 na module sa kabuuan ng forward channel ng ahente: Ang PKCS # 11 na mga module ay nakabahaging mga library, kaya ito ay magreresulta sa code execution sa system na tumatakbo sa ssh - Kung ang taga-atake ay may kontrol sa forward-agent socket (sa host na tumatakbo sa sshd server) at ang kakayahang magsulat sa filesystem ng host na tumatakbo sa ssh-agent (karaniwan ay ang host na tumatakbo sa ssh client). Iniulat ni Jann Horn ng Project Zero.
- sshd (8): Kapag hindi pinagana ang paghihiwalay ng pribilehiyo, ipapasa ang mga socket ng Unix na domain ay nilikha ng sshd (8) na may mga pribilehiyo ng 'root' sa halip na ang napatotohanan na user. Ang paglabas na ito ay tumanggi sa pag-forward ng socket ng Unix-domain kapag hindi pinagana ang paghihiwalay ng pribilehiyo (pinagana ang paghiwalay ng pribilehiyo sa pamamagitan ng default para sa 14 na taon). Iniulat ni Jann Horn ng Project Zero.
- sshd (8): Iwasan ang teorya na pagtagas ng pribadong pangunahing materyal ng host sa mga proseso ng anak na pinaghihiwalay ng pribilehiyo sa pamamagitan ng realloc () kapag nagbabasa ng mga key. Walang ganoong pagtagas ang naobserbahan sa pagsasanay para sa normal na sized na mga susi, o ang isang pagtagas sa bata na proseso ay direktang ilantad ang pangunahing materyal sa mga hindi pinapakinabang na mga gumagamit. Iniulat ni Jann Horn ng Project Zero.
- sshd (8): Ang nakabahaging memory manager na ginamit ng suporta sa pre-authentication compression ay may mga tseke na hangganan na maaaring ibilang sa pamamagitan ng ilang mga optimize na compiler. Bukod pa rito, ang memory manager na ito ay hindi naa-access nang hindi pinagana ang pre-authentication compression. Maaaring ito ay maaaring magpahintulot sa pag-atake laban sa pribilehiyo na proseso ng pagsubaybay mula sa proseso ng paghihiwalay ng sandboxed na pribilehiyo (isang kompromiso ng huli ay kinakailangan muna). Ang release na ito ay nag-aalis ng suporta para sa pre-authentication compression mula sa sshd (8). Iniulat ni Guido Vranken gamit ang Stack hindi matatag na tool sa pagtukoy sa pag-optimize (http://css.csail.mit.edu/stack/)
- sshd (8): Ayusin ang kalagayan ng pagtanggi sa serbisyo kung saan ang isang magsasalakay na nagpapadala ng maraming mensahe ng KEXINIT ay maaaring gumamit ng hanggang 128MB bawat koneksyon. Iniulat ni Shi Lei of Gear Team, Qihoo 360.
- sshd (8): Patotohanan ang mga saklaw ng address para sa mga direktiba ng AllowUser at DenyUsers sa oras ng pag-load ng configuration at tumangging tanggapin ang mga hindi wasto. Malamang na posibleng tukuyin ang mga di-wastong mga saklaw ng address ng CIDR (hal. User@127.1.2.3/55) at ang mga ito ay laging tumutugma, na maaaring magresulta sa pagbibigay ng access kung saan hindi ito nilayon. Iniulat ni Laurence Parry.
- Mga Bagong Tampok:
- ssh (1): Magdagdag ng proxy multiplexing mode sa ssh (1) na inspirasyon ng bersyon sa PuTTY ni Simon Tatham. Pinapayagan nito ang isang multiplexing client na makipag-usap sa master process gamit ang isang subset ng pack ng SSH at mga protocol ng channel sa isang socket ng domain ng Unix, na may pangunahing proseso na kumikilos bilang proxy na nagta-translate ng mga channel ID, atbp Pinapayagan nito ang multiplexing mode na tumakbo mga system na walang file-descriptor passing (ginamit ng kasalukuyang multiplexing code) at potensyal, kasabay ng forwarding ng Unix-domain socket, kasama ang client at multiplexing master process sa iba't ibang mga machine. Maaaring mahawakan ang mode ng multiplexing proxy gamit ang & quot; ssh -O proxy ... & quot;
- sshd (8): Magdagdag ng isang sshd_config DisableForwarding option na hindi pinapagana ang X11, ahente, TCP, tunel at pag-forward ng socket ng domain ng Unix, gayundin ang anumang bagay na maaari naming ipatupad sa hinaharap. Tulad ng flag na awtorisadong_keys na 'paghigpitan', ito ay inilaan upang maging isang simple at hinaharap na patunay na paraan ng paghihigpit sa isang account.
- sshd (8), ssh (1): Suportahan ang & quot; curve25519-sha256 & quot; pangunahing paraan ng palitan. Ito ay kapareho sa kasalukuyang-suportadong paraan na pinangalanang & quot; curve25519-sha256@libssh.org".
- sshd (8): Pagbutihin ang paghawak ng SIGHUP sa pamamagitan ng pagsuri upang makita kung ang sshd ay na-daemon na sa startup at laktawan ang tawag sa demonyo (3) kung ito ay. Tinitiyak nito na ang pag-restart ng SIGHUP ng sshd (8) ay mananatili sa parehong proseso-ID bilang unang pagpapatupad. sshd (8) ay maaari na ngayong i-unlink ang PidFile bago i-restart ang SIGHUP at muling likhain ito matapos ang isang matagumpay na restart, sa halip na mag-iwan ng isang lipas na file sa kaso ng isang error sa pagsasaayos. bz # 2641
- sshd (8): Payagan ang mga direktiba ng ClientAliveInterval at ClientAliveCountMax na lumitaw sa sshd_config Mga bloke ng pagtutugma.
- sshd (8): Magdagdag ng% -capes sa AuthorizedPrincipalsCommand upang tumugma sa mga suportado ng AuthorizedKeysCommand (susi, susi uri, tatak ng daliri, atbp.) at ilan pa upang magbigay ng access sa mga nilalaman ng certificate na inaalok. >
- Nagdagdag ng mga pagsusulit ng pagbabalik para sa pagtutugma ng string, pagtutugma ng address at mga function ng sanitasyon ng string.
- Pinagbuting ang key exchange fuzzer harness.
- Bugfixes:
- ssh (1): Payagan ang IdentityFile na matagumpay na mag-load at gumamit ng mga sertipiko na walang katumbas na pampublikong key. bz # 2617 certificate id_rsa-cert.pub (at walang id_rsa.pub).
- ssh (1): Ayusin ang pagpapatotoo ng pampublikong susi kapag ginagamit ang maramihang pagpapatunay at ang publickey ay hindi lamang ang unang pamamaraan na sinubukan. bz # 2642
- regress: Pahintulutan ang mga pagsusulit na pansamantala ng PuTTY upang magpatakbo nang walang nag-aalaga. bz # 2639
- ssh-agent (1), ssh (1): pagbutihin ang pag-uulat kapag sinusubukang i-load ang mga key mula sa mga token ng PKCS # 11 na may mas kaunting mga walang silbing log message at higit pang detalye sa mga debug message. bz # 2610
- ssh (1): Kapag nahuhulog ang mga koneksyon sa ControlMaster, huwag marumi ang stderr kapag LogLevel = tahimik.
- ssh (1): Iwasan ang busy-wait kapag ang ssh (1) ay nasuspinde habang nasa isang prompt ng password.
- ssh (1), sshd (8): Tamang mag-ulat ng mga error habang nagpapadala ng mga mensahe ng ekstra.
- sshd (8): ayusin ang NULL-deref na pag-crash kung natanggap ng sshd (8) ang isang mensahe sa labas ng pagkakasunud-sunod ng NEWKEYS.
- sshd (8): Tamang listahan ng mga suportadong pirma na algorithm na ipinadala sa extension ng server-sig-algs. bz # 2547
- sshd (8): Ayusin ang pagpapadala ng mensahe ng ext_info kung ang privsep ay hindi pinagana.
- sshd (8): mas mahigpit na ipatupad ang inaasahang pag-order ng paghihiwalay ng pribilehiyo ng mga tawag ng monitor na ginagamit para sa pagpapatunay at payagan lamang ang mga ito kung ang kanilang mga pamamaraan sa pagpapatunay ay pinagana sa pagsasaayos
- sshd (8): Ayusin ang uninitialised optlen sa getockopt () na tawag; hindi nakakapinsala sa Unix / BSD ngunit maaaring mag-crash sa Cygwin.
- Ayusin ang mga maling positibong ulat na sanhi ng explicit_bzero (3) hindi kinikilala bilang isang initialiser ng memory kapag naipon na may -fsanitize-memorya. sshd_config (5): Gamitin ang 2001: db8 :: / 32, ang opisyal na IPv6 subnet para sa mga halimbawa ng pagsasaayos.
- Portability:
- Sa mga kinalalagyan na naka-configure na may mga lokal na Turkish, bumabalik sa lokal na C / POSIX upang maiwasan ang mga pagkakamali sa pag-parse ng configuration na sanhi ng natatanging paghawak ng lokal na 'i' at 'I'. bz # 2643
- sftp-server (8), ssh-agent (1): Tanggihan ang ptrace sa OS X gamit ang ptrace (PT_DENY_ATTACH, ..)
- ssh (1), sshd (8): Unbreak AES-CTR ciphers sa lumang (~ 0.9.8) OpenSSL.
- Ayusin ang compilation para sa libcrypto na naipon nang walang RIPEMD160 support.
- kontribyutor: Magdagdag ng isang gnome-ssh-askpass3 kasama ang suporta ng GTK + 3. bz # 2640 sshd (8): Pagbutihin ang PRNG sa pagsasagawa ng pahintulot sa paghihiwalay at lakas libcrypto upang makakuha ng isang mataas na kalidad na binhi bago chroot o sandboxing.
- Lahat: Eksaktong pagsubok para sa sirang strnvis. Ang NetBSD ay nagdagdag ng isang strnvis at sa kasamaang palad ay ginawa ito hindi tugma sa umiiral na sa OpenBSD at Linux libbsd (ang dating pagkakaroon ng umiiral para sa higit sa sampung taon). Subukan upang makita ang gulo na ito, at ipagpalagay ang tanging ligtas na opsyon kung tumatawid kami ng pag-compile.
sftp (1): Sa ^ Z maghintay para sa pinagbabatayan ssh (1) upang mag-suspindihin bago suspendihin ang sftp (1) upang matiyak na ang ssh (1) ay muling ibabalik ang terminal mode nang tama kung nasuspinde sa panahon ng password prompt.
Ano ang bagong sa bersyon:
- Mga potensyal na hindi katugma na mga pagbabago:
- Ang release na ito ay nagsasama ng ilang mga pagbabago na maaaring makaapekto sa mga umiiral nang configuration:
- Ang paglabas na ito ay nag-aalis ng suporta sa server para sa SSH v.1 protocol.
- ssh (1): Alisin ang 3des-cbc mula sa panukalang default ng kliyente. Ang 64-bit block ciphers ay hindi ligtas sa 2016 at hindi namin nais na maghintay hanggang ang mga pag-atake tulad ng SWEET32 ay pinalawig sa SSH. Tulad ng 3des-cbc ay ang tanging ipinag-uutos na cipher sa SSH RFCs, maaaring magdulot ito ng mga problema sa pagkonekta sa mas lumang mga aparato gamit ang default na pagsasaayos, ngunit malamang na ang mga naturang device ay nangangailangan ng tahasang pagsasaayos para sa mga key exchange at hostkey algorithm na mayroon ka pa rin. sshd (8): Alisin ang suporta para sa compression ng pre-authentication. Ang paggawa ng compression nang maaga sa protocol ay malamang na tila makatwirang sa dekada ng 1990, ngunit ngayon ito ay malinaw na isang masamang ideya sa mga tuntunin ng parehong cryptography (cf. maraming mga compression orakulo atake sa TLS) at pag-atake ibabaw. Ang suportang pre-auth compression ay hindi pinagana sa pamamagitan ng default para sa & gt; 10 taon. Ang suporta ay nananatili sa kliyente. tanggihan ng ssh-agent ang PKCS # 11 na mga module sa labas ng isang whitelist ng pinagkakatiwalaang mga landas sa pamamagitan ng default. Ang whitelist ng landas ay maaaring tinukoy sa run-time.
- sshd (8): Kapag ang isang sapilitang command ay lumilitaw sa parehong isang sertipiko at ng awtorisadong mga susi / punong-guro command = paghihigpit, tatanggihan na ngayon ng sshd ang sertipiko maliban kung pareho ang mga ito. Ang naunang (dokumentado) na pag-uugali ng pagkakaroon ng certificate sapilitang-command na pawalang-bisa ang iba ay maaaring maging isang bit nakalilito at madaling makamit ang error. sshd (8): Alisin ang direktiba at suporta ng UseLogin configuration para sa pagkakaroon ng / bin / login pamahalaan ang mga login session.
- Mga pagbabago mula noong OpenSSH 7.3:
- Seguridad:
- ssh-agent (1): Itatanggi na ngayon ang load PKCS # 11 na mga module mula sa mga landas sa labas ng isang pinagkakatiwalaang whitelist (run-time na maisasaayos). Ang mga kahilingan upang i-load ang mga module ay maaaring maipasa sa pamamagitan ng pagpasa ng ahente at ang isang magsasalakay ay maaaring magtangkang i-load ang isang pagalit PKCS # 11 na module sa kabuuan ng forward channel ng ahente: Ang PKCS # 11 na mga module ay nakabahaging mga library, kaya ito ay magreresulta sa code execution sa system na tumatakbo sa ssh - Kung ang taga-atake ay may kontrol sa forward-agent socket (sa host na tumatakbo sa sshd server) at ang kakayahang magsulat sa filesystem ng host na tumatakbo sa ssh-agent (karaniwan ay ang host na tumatakbo sa ssh client). Iniulat ni Jann Horn ng Project Zero.
- sshd (8): Kapag hindi pinagana ang paghihiwalay ng pribilehiyo, ipapasa ang mga socket ng Unix na domain ay nilikha ng sshd (8) na may mga pribilehiyo ng 'root' sa halip na ang napatotohanan na user. Ang paglabas na ito ay tumanggi sa pag-forward ng socket ng Unix-domain kapag hindi pinagana ang paghihiwalay ng pribilehiyo (pinagana ang paghiwalay ng pribilehiyo sa pamamagitan ng default para sa 14 na taon). Iniulat ni Jann Horn ng Project Zero.
- sshd (8): Iwasan ang teorya na pagtagas ng pribadong pangunahing materyal ng host sa mga proseso ng anak na pinaghihiwalay ng pribilehiyo sa pamamagitan ng realloc () kapag nagbabasa ng mga key. Walang ganoong pagtagas ang naobserbahan sa pagsasanay para sa normal na sized na mga susi, o ang isang pagtagas sa bata na proseso ay direktang ilantad ang pangunahing materyal sa mga hindi pinapakinabang na mga gumagamit. Iniulat ni Jann Horn ng Project Zero.
- sshd (8): Ang nakabahaging memory manager na ginamit ng suporta sa pre-authentication compression ay may mga tseke na hangganan na maaaring ibilang sa pamamagitan ng ilang mga optimize na compiler. Bukod pa rito, ang memory manager na ito ay hindi naa-access nang hindi pinagana ang pre-authentication compression. Maaaring ito ay maaaring magpahintulot sa pag-atake laban sa pribilehiyo na proseso ng pagsubaybay mula sa proseso ng paghihiwalay ng sandboxed na pribilehiyo (isang kompromiso ng huli ay kinakailangan muna). Ang release na ito ay nag-aalis ng suporta para sa pre-authentication compression mula sa sshd (8). Iniulat ni Guido Vranken gamit ang Stack hindi matatag na tool sa pagtukoy sa pag-optimize (http://css.csail.mit.edu/stack/)
- sshd (8): Ayusin ang kalagayan ng pagtanggi sa serbisyo kung saan ang isang magsasalakay na nagpapadala ng maraming mensahe ng KEXINIT ay maaaring gumamit ng hanggang 128MB bawat koneksyon. Iniulat ni Shi Lei of Gear Team, Qihoo 360.
- sshd (8): Patotohanan ang mga saklaw ng address para sa mga direktiba ng AllowUser at DenyUsers sa oras ng pag-load ng configuration at tumangging tanggapin ang mga hindi wasto. Malamang na posibleng tukuyin ang mga di-wastong mga saklaw ng address ng CIDR (hal. User@127.1.2.3/55) at ang mga ito ay laging tumutugma, na maaaring magresulta sa pagbibigay ng access kung saan hindi ito nilayon. Iniulat ni Laurence Parry.
- Mga Bagong Tampok:
- ssh (1): Magdagdag ng proxy multiplexing mode sa ssh (1) na inspirasyon ng bersyon sa PuTTY ni Simon Tatham. Pinapayagan nito ang isang multiplexing client na makipag-usap sa master process gamit ang isang subset ng pack ng SSH at mga protocol ng channel sa isang socket ng domain ng Unix, na may pangunahing proseso na kumikilos bilang proxy na nagta-translate ng mga channel ID, atbp Pinapayagan nito ang multiplexing mode na tumakbo mga system na walang file-descriptor passing (ginamit ng kasalukuyang multiplexing code) at potensyal, kasabay ng forwarding ng Unix-domain socket, kasama ang client at multiplexing master process sa iba't ibang mga machine. Maaaring mahawakan ang mode ng multiplexing proxy gamit ang & quot; ssh -O proxy ... & quot;
- sshd (8): Magdagdag ng isang sshd_config DisableForwarding option na hindi pinapagana ang X11, ahente, TCP, tunel at pag-forward ng socket ng domain ng Unix, gayundin ang anumang bagay na maaari naming ipatupad sa hinaharap. Tulad ng flag na awtorisadong_keys na 'paghigpitan', ito ay inilaan upang maging isang simple at hinaharap na patunay na paraan ng paghihigpit sa isang account.
- sshd (8), ssh (1): Suportahan ang & quot; curve25519-sha256 & quot; pangunahing paraan ng palitan. Ito ay kapareho sa kasalukuyang-suportadong paraan na pinangalanang & quot; curve25519-sha256@libssh.org".
- sshd (8): Pagbutihin ang paghawak ng SIGHUP sa pamamagitan ng pagsuri upang makita kung ang sshd ay na-daemon na sa startup at laktawan ang tawag sa demonyo (3) kung ito ay. Tinitiyak nito na ang pag-restart ng SIGHUP ng sshd (8) ay mananatili sa parehong proseso-ID bilang unang pagpapatupad. sshd (8) ay maaari na ngayong i-unlink ang PidFile bago i-restart ang SIGHUP at muling likhain ito matapos ang isang matagumpay na restart, sa halip na mag-iwan ng isang lipas na file sa kaso ng isang error sa pagsasaayos. bz # 2641
- sshd (8): Payagan ang mga direktiba ng ClientAliveInterval at ClientAliveCountMax na lumitaw sa sshd_config Mga bloke ng pagtutugma.
- sshd (8): Magdagdag ng% -capes sa AuthorizedPrincipalsCommand upang tumugma sa mga suportado ng AuthorizedKeysCommand (susi, susi uri, tatak ng daliri, atbp.) at ilan pa upang magbigay ng access sa mga nilalaman ng certificate na inaalok. >
- Nagdagdag ng mga pagsusulit ng pagbabalik para sa pagtutugma ng string, pagtutugma ng address at mga function ng sanitasyon ng string.
- Pinagbuting ang key exchange fuzzer harness.
- Bugfixes:
- ssh (1): Payagan ang IdentityFile na matagumpay na mag-load at gumamit ng mga sertipiko na walang katumbas na pampublikong key. bz # 2617 certificate id_rsa-cert.pub (at walang id_rsa.pub).
- ssh (1): Ayusin ang pagpapatotoo ng pampublikong susi kapag ginagamit ang maramihang pagpapatunay at ang publickey ay hindi lamang ang unang pamamaraan na sinubukan. bz # 2642
- regress: Pahintulutan ang mga pagsusulit na pansamantala ng PuTTY upang magpatakbo nang walang nag-aalaga. bz # 2639
- ssh-agent (1), ssh (1): pagbutihin ang pag-uulat kapag sinusubukang i-load ang mga key mula sa mga token ng PKCS # 11 na may mas kaunting mga walang silbing log message at higit pang detalye sa mga debug message. bz # 2610
- ssh (1): Kapag nahuhulog ang mga koneksyon sa ControlMaster, huwag marumi ang stderr kapag LogLevel = tahimik.
- ssh (1): Iwasan ang busy-wait kapag ang ssh (1) ay nasuspinde habang nasa isang prompt ng password.
- ssh (1), sshd (8): Tamang mag-ulat ng mga error habang nagpapadala ng mga mensahe ng ekstra.
- sshd (8): ayusin ang NULL-deref na pag-crash kung natanggap ng sshd (8) ang isang mensahe sa labas ng pagkakasunud-sunod ng NEWKEYS.
- sshd (8): Tamang listahan ng mga suportadong pirma na algorithm na ipinadala sa extension ng server-sig-algs. bz # 2547
- sshd (8): Ayusin ang pagpapadala ng mensahe ng ext_info kung ang privsep ay hindi pinagana.
- sshd (8): mas mahigpit na ipatupad ang inaasahang pag-order ng paghihiwalay ng pribilehiyo ng mga tawag ng monitor na ginagamit para sa pagpapatunay at payagan lamang ang mga ito kung ang kanilang mga pamamaraan sa pagpapatunay ay pinagana sa pagsasaayos
- sshd (8): Ayusin ang uninitialised optlen sa getockopt () na tawag; hindi nakakapinsala sa Unix / BSD ngunit maaaring mag-crash sa Cygwin.
- Ayusin ang mga maling positibong ulat na sanhi ng explicit_bzero (3) hindi kinikilala bilang isang initialiser ng memory kapag naipon na may -fsanitize-memorya. sshd_config (5): Gamitin ang 2001: db8 :: / 32, ang opisyal na IPv6 subnet para sa mga halimbawa ng pagsasaayos.
- Portability:
- Sa mga kinalalagyan na naka-configure na may mga lokal na Turkish, bumabalik sa lokal na C / POSIX upang maiwasan ang mga pagkakamali sa pag-parse ng configuration na sanhi ng natatanging paghawak ng lokal na 'i' at 'I'. bz # 2643
- sftp-server (8), ssh-agent (1): Tanggihan ang ptrace sa OS X gamit ang ptrace (PT_DENY_ATTACH, ..)
- ssh (1), sshd (8): Unbreak AES-CTR ciphers sa lumang (~ 0.9.8) OpenSSL.
- Ayusin ang compilation para sa libcrypto na naipon nang walang RIPEMD160 support.
- kontribyutor: Magdagdag ng isang gnome-ssh-askpass3 kasama ang suporta ng GTK + 3. bz # 2640 sshd (8): Pagbutihin ang PRNG sa pagsasagawa ng pahintulot sa paghihiwalay at lakas libcrypto upang makakuha ng isang mataas na kalidad na binhi bago chroot o sandboxing.
- Lahat: Eksaktong pagsubok para sa sirang strnvis. Ang NetBSD ay nagdagdag ng isang strnvis at sa kasamaang palad ay ginawa ito hindi tugma sa umiiral na sa OpenBSD at Linux libbsd (ang dating pagkakaroon ng umiiral para sa higit sa sampung taon). Subukan upang makita ang gulo na ito, at ipagpalagay ang tanging ligtas na opsyon kung tumatawid kami ng pag-compile.
sftp (1): Sa ^ Z maghintay para sa pinagbabatayan ssh (1) upang mag-suspindihin bago suspendihin ang sftp (1) upang matiyak na ang ssh (1) ay muling ibabalik ang terminal mode nang tama kung nasuspinde sa panahon ng password prompt.
Ano ang bago sa bersyon 7.4:
- Mga potensyal na hindi magkatugma na mga pagbabago:
- Ang release na ito ay nagsasama ng ilang mga pagbabago na maaaring makaapekto sa mga umiiral nang configuration:
- Ang paglabas na ito ay nag-aalis ng suporta sa server para sa SSH v.1 protocol.
- ssh (1): Alisin ang 3des-cbc mula sa panukalang default ng kliyente. Ang 64-bit block ciphers ay hindi ligtas sa 2016 at hindi namin nais na maghintay hanggang ang mga pag-atake tulad ng SWEET32 ay pinalawig sa SSH. Tulad ng 3des-cbc ay ang tanging ipinag-uutos na cipher sa SSH RFCs, maaaring magdulot ito ng mga problema sa pagkonekta sa mas lumang mga aparato gamit ang default na pagsasaayos, ngunit malamang na ang mga naturang device ay nangangailangan ng tahasang pagsasaayos para sa mga key exchange at hostkey algorithm na mayroon ka pa rin. sshd (8): Alisin ang suporta para sa compression ng pre-authentication. Ang paggawa ng compression nang maaga sa protocol ay malamang na tila makatwirang sa dekada ng 1990, ngunit ngayon ito ay malinaw na isang masamang ideya sa mga tuntunin ng parehong cryptography (cf. maraming mga compression orakulo atake sa TLS) at pag-atake ibabaw. Ang suportang pre-auth compression ay hindi pinagana sa pamamagitan ng default para sa & gt; 10 taon. Ang suporta ay nananatili sa kliyente. tanggihan ng ssh-agent ang PKCS # 11 na mga module sa labas ng isang whitelist ng pinagkakatiwalaang mga landas sa pamamagitan ng default. Ang whitelist ng landas ay maaaring tinukoy sa run-time.
- sshd (8): Kapag ang isang sapilitang command ay lumilitaw sa parehong isang sertipiko at ng awtorisadong mga susi / punong-guro command = paghihigpit, tatanggihan na ngayon ng sshd ang sertipiko maliban kung pareho ang mga ito. Ang naunang (dokumentado) na pag-uugali ng pagkakaroon ng certificate sapilitang-command na pawalang-bisa ang iba ay maaaring maging isang bit nakalilito at madaling makamit ang error. sshd (8): Alisin ang direktiba at suporta ng UseLogin configuration para sa pagkakaroon ng / bin / login pamahalaan ang mga login session.
- Mga pagbabago mula noong OpenSSH 7.3:
- Seguridad:
- ssh-agent (1): Itatanggi na ngayon ang load PKCS # 11 na mga module mula sa mga landas sa labas ng isang pinagkakatiwalaang whitelist (run-time na maisasaayos). Ang mga kahilingan upang i-load ang mga module ay maaaring maipasa sa pamamagitan ng pagpasa ng ahente at ang isang magsasalakay ay maaaring magtangkang i-load ang isang pagalit PKCS # 11 na module sa kabuuan ng forward channel ng ahente: Ang PKCS # 11 na mga module ay nakabahaging mga library, kaya ito ay magreresulta sa code execution sa system na tumatakbo sa ssh - Kung ang taga-atake ay may kontrol sa forward-agent socket (sa host na tumatakbo sa sshd server) at ang kakayahang magsulat sa filesystem ng host na tumatakbo sa ssh-agent (karaniwan ay ang host na tumatakbo sa ssh client). Iniulat ni Jann Horn ng Project Zero.
- sshd (8): Kapag hindi pinagana ang paghihiwalay ng pribilehiyo, ipapasa ang mga socket ng Unix na domain ay nilikha ng sshd (8) na may mga pribilehiyo ng 'root' sa halip na ang napatotohanan na user. Ang paglabas na ito ay tumanggi sa pag-forward ng socket ng Unix-domain kapag hindi pinagana ang paghihiwalay ng pribilehiyo (pinagana ang paghiwalay ng pribilehiyo sa pamamagitan ng default para sa 14 na taon). Iniulat ni Jann Horn ng Project Zero.
- sshd (8): Iwasan ang teorya na pagtagas ng pribadong pangunahing materyal ng host sa mga proseso ng anak na pinaghihiwalay ng pribilehiyo sa pamamagitan ng realloc () kapag nagbabasa ng mga key. Walang ganoong pagtagas ang naobserbahan sa pagsasanay para sa normal na sized na mga susi, o ang isang pagtagas sa bata na proseso ay direktang ilantad ang pangunahing materyal sa mga hindi pinapakinabang na mga gumagamit. Iniulat ni Jann Horn ng Project Zero.
- sshd (8): Ang nakabahaging memory manager na ginamit ng suporta sa pre-authentication compression ay may mga tseke na hangganan na maaaring ibilang sa pamamagitan ng ilang mga optimize na compiler. Bukod pa rito, ang memory manager na ito ay hindi naa-access nang hindi pinagana ang pre-authentication compression. Maaaring ito ay maaaring magpahintulot sa pag-atake laban sa pribilehiyo na proseso ng pagsubaybay mula sa proseso ng paghihiwalay ng sandboxed na pribilehiyo (isang kompromiso ng huli ay kinakailangan muna). Ang release na ito ay nag-aalis ng suporta para sa pre-authentication compression mula sa sshd (8). Iniulat ni Guido Vranken gamit ang Stack hindi matatag na tool sa pagtukoy sa pag-optimize (http://css.csail.mit.edu/stack/)
- sshd (8): Ayusin ang kalagayan ng pagtanggi sa serbisyo kung saan ang isang magsasalakay na nagpapadala ng maraming mensahe ng KEXINIT ay maaaring gumamit ng hanggang 128MB bawat koneksyon. Iniulat ni Shi Lei of Gear Team, Qihoo 360.
- sshd (8): Patotohanan ang mga saklaw ng address para sa mga direktiba ng AllowUser at DenyUsers sa oras ng pag-load ng configuration at tumangging tanggapin ang mga hindi wasto. Malamang na posibleng tukuyin ang mga di-wastong mga saklaw ng address ng CIDR (hal. User@127.1.2.3/55) at ang mga ito ay laging tumutugma, na maaaring magresulta sa pagbibigay ng access kung saan hindi ito nilayon. Iniulat ni Laurence Parry.
- Mga Bagong Tampok:
- ssh (1): Magdagdag ng proxy multiplexing mode sa ssh (1) na inspirasyon ng bersyon sa PuTTY ni Simon Tatham. Pinapayagan nito ang isang multiplexing client na makipag-usap sa master process gamit ang isang subset ng pack ng SSH at mga protocol ng channel sa isang socket ng domain ng Unix, na may pangunahing proseso na kumikilos bilang proxy na nagta-translate ng mga channel ID, atbp Pinapayagan nito ang multiplexing mode na tumakbo mga system na walang file-descriptor passing (ginamit ng kasalukuyang multiplexing code) at potensyal, kasabay ng forwarding ng Unix-domain socket, kasama ang client at multiplexing master process sa iba't ibang mga machine. Maaaring mahawakan ang mode ng multiplexing proxy gamit ang "ssh -O proxy ..."
- sshd (8): Magdagdag ng isang sshd_config DisableForwarding option na hindi pinapagana ang X11, ahente, TCP, tunel at pag-forward ng socket ng domain ng Unix, gayundin ang anumang bagay na maaari naming ipatupad sa hinaharap. Tulad ng flag na awtorisadong_keys na 'paghigpitan', ito ay inilaan upang maging isang simple at hinaharap na patunay na paraan ng paghihigpit sa isang account.
- sshd (8), ssh (1): Suportahan ang "curve25519-sha256" na paraan ng key exchange. Katulad ito sa kasalukuyang sinusuportahan na paraan na pinangalanang "curve25519-sha256@libssh.org".
- sshd (8): Pagbutihin ang paghawak ng SIGHUP sa pamamagitan ng pagsuri upang makita kung ang sshd ay na-daemon na sa startup at laktawan ang tawag sa demonyo (3) kung ito ay. Tinitiyak nito na ang pag-restart ng SIGHUP ng sshd (8) ay mananatili sa parehong proseso-ID bilang unang pagpapatupad. sshd (8) ay maaari na ngayong i-unlink ang PidFile bago i-restart ang SIGHUP at muling likhain ito matapos ang isang matagumpay na restart, sa halip na mag-iwan ng isang lipas na file sa kaso ng isang error sa pagsasaayos. bz # 2641
- sshd (8): Payagan ang mga direktiba ng ClientAliveInterval at ClientAliveCountMax na lumitaw sa sshd_config Mga bloke ng pagtutugma.
- sshd (8): Magdagdag ng% -capes sa AuthorizedPrincipalsCommand upang tumugma sa mga suportado ng AuthorizedKeysCommand (susi, susi uri, tatak ng daliri, atbp.) at ilan pa upang magbigay ng access sa mga nilalaman ng certificate na inaalok. >
- Nagdagdag ng mga pagsusulit ng pagbabalik para sa pagtutugma ng string, pagtutugma ng address at mga function ng sanitasyon ng string.
- Pinagbuting ang key exchange fuzzer harness.
- Bugfixes:
- ssh (1): Payagan ang IdentityFile na matagumpay na mag-load at gumamit ng mga sertipiko na walang katumbas na pampublikong key. bz # 2617 certificate id_rsa-cert.pub (at walang id_rsa.pub).
- ssh (1): Ayusin ang pagpapatotoo ng pampublikong susi kapag ginagamit ang maramihang pagpapatunay at ang publickey ay hindi lamang ang unang pamamaraan na sinubukan. bz # 2642
- regress: Pahintulutan ang mga pagsusulit na pansamantala ng PuTTY upang magpatakbo nang walang nag-aalaga. bz # 2639
- ssh-agent (1), ssh (1): pagbutihin ang pag-uulat kapag sinusubukang i-load ang mga key mula sa mga token ng PKCS # 11 na may mas kaunting mga walang silbing log message at higit pang detalye sa mga debug message. bz # 2610
- ssh (1): Kapag nahuhulog ang mga koneksyon sa ControlMaster, huwag marumi ang stderr kapag LogLevel = tahimik.
- ssh (1): Iwasan ang busy-wait kapag ang ssh (1) ay nasuspinde habang nasa isang prompt ng password.
- ssh (1), sshd (8): Tamang mag-ulat ng mga error habang nagpapadala ng mga mensahe ng ekstra.
- sshd (8): ayusin ang NULL-deref na pag-crash kung natanggap ng sshd (8) ang isang mensahe sa labas ng pagkakasunud-sunod ng NEWKEYS.
- sshd (8): Tamang listahan ng mga suportadong pirma na algorithm na ipinadala sa extension ng server-sig-algs. bz # 2547
- sshd (8): Ayusin ang pagpapadala ng mensahe ng ext_info kung ang privsep ay hindi pinagana.
- sshd (8): mas mahigpit na ipatupad ang inaasahang pag-order ng paghihiwalay ng pribilehiyo ng mga tawag ng monitor na ginagamit para sa pagpapatunay at payagan lamang ang mga ito kung ang kanilang mga pamamaraan sa pagpapatunay ay pinagana sa pagsasaayos
- sshd (8): Ayusin ang uninitialised optlen sa getockopt () na tawag; hindi nakakapinsala sa Unix / BSD ngunit maaaring mag-crash sa Cygwin.
- Ayusin ang mga maling positibong ulat na sanhi ng explicit_bzero (3) hindi kinikilala bilang isang initialiser ng memory kapag naipon na may -fsanitize-memorya. sshd_config (5): Gamitin ang 2001: db8 :: / 32, ang opisyal na IPv6 subnet para sa mga halimbawa ng pagsasaayos.
- Portability:
- Sa mga kinalalagyan na naka-configure na may mga lokal na Turkish, bumabalik sa lokal na C / POSIX upang maiwasan ang mga pagkakamali sa pag-parse ng configuration na sanhi ng natatanging paghawak ng lokal na 'i' at 'I'. bz # 2643
- sftp-server (8), ssh-agent (1): Tanggihan ang ptrace sa OS X gamit ang ptrace (PT_DENY_ATTACH, ..)
- ssh (1), sshd (8): Unbreak AES-CTR ciphers sa lumang (~ 0.9.8) OpenSSL.
- Ayusin ang compilation para sa libcrypto na naipon nang walang RIPEMD160 support.
- kontribusyon: Magdagdag ng isang gnome-ssh-askpass3 kasama ang GTK + 3 na suporta. bz # 2640 sshd (8): Pagbutihin ang PRNG sa pagsasagawa ng pahintulot sa paghihiwalay at lakas libcrypto upang makakuha ng isang mataas na kalidad na binhi bago chroot o sandboxing.
- Lahat: Eksaktong pagsubok para sa sirang strnvis. Ang NetBSD ay nagdagdag ng isang strnvis at sa kasamaang palad ay ginawa ito hindi tugma sa umiiral na sa OpenBSD at Linux libbsd (ang dating pagkakaroon ng umiiral para sa higit sa sampung taon). Subukan upang makita ang gulo na ito, at ipagpalagay ang tanging ligtas na opsyon kung tumatawid kami ng pag-compile.
sftp (1): Sa ^ Z maghintay para sa pinagbabatayan ssh (1) upang mag-suspindihin bago suspendihin ang sftp (1) upang matiyak na ang ssh (1) ay muling ibabalik ang terminal mode nang tama kung nasuspinde sa panahon ng password prompt.
Ano ang bago sa bersyon 7.3:
- Seguridad:
- sshd (8): Bawasan ang isang potensyal na denial-of-service na pag-atake laban sa crypt (3) function ng system sa pamamagitan ng sshd (8). Ang isang magsasalakay ay maaaring magpadala ng mga mahahabang password na maaaring maging sanhi ng labis na paggamit ng CPU sa crypt (3). sshd (8) ngayon ay tumatangging tanggapin ang mga kahilingan sa pagpapatunay ng password ng haba na mas malaki kaysa sa 1024 na mga character. Malaya na iniulat ng Tomas Kuthan (Oracle), Andres Rojas at Javier Nieto.
- sshd (8): Iwasan ang mga pagkakaiba sa timing sa pagpapatunay ng password na maaaring magamit upang makilala ang wastong mula sa mga di-wastong pangalan ng account kapag ipinadala ang mga mahabang password at ginagamit ang partikular na algorithm ng hashing ng password sa server. CVE-2016-6210, na iniulat ni EddieEzra.Harari sa verint.com
- ssh (1), sshd (8): Ayusin ang kapansin-pansin na timing na kahinaan sa CBC padding oracle countermeasures. Iniulat ni Jean Paul Degabriele, Kenny Paterson, Torben Hansen at Martin Albrecht. Tandaan na ang mga ciphers ng CBC ay hindi pinagana sa pamamagitan ng default at kasama lamang para sa pagiging tugma ng legacy.
- ssh (1), sshd (8): Pagbutihin ang pag-order ng pagpapatakbo ng MAC verification para sa Encrypt-then-MAC (EtM) mode na transportasyon ng MAC algorithm upang i-verify ang MAC bago i-decrypting ang anumang ciphertext. Tinatanggal nito ang posibilidad ng mga pagkakaiba sa tiyempo na nakakalugad ng mga katotohanan tungkol sa plaintext, bagaman walang tulad na butas na tumutulo ang naobserbahan. Iniulat ni Jean Paul Degabriele, Kenny Paterson, Torben Hansen at Martin Albrecht. sshd (8): (portable lang) Huwag pansinin ang mga kapaligiran sa Pam ng PAM kapag UseLogin = oo. Kung ang PAM ay naka-configure na basahin ang mga variable ng kapaligiran ng user na tinukoy ng gumagamit at UseLogin = oo sa sshd_config, maaaring mag-atake ang isang lokal na user ng user / bin / login sa pamamagitan ng LD_PRELOAD o katulad na mga variable ng kapaligiran na itinakda sa pamamagitan ng Pam. CVE-2015-8325, na natagpuan ni Shayan Sadigh.
- Mga Bagong Tampok:
- ssh (1): Magdagdag ng isang pagpipilian sa ProxyJump at kaukulang -J command-line na bandila upang payagan ang pinasimple na indirection sa pamamagitan ng isa o higit pang mga SSH bastion o "mga host ng jump".
- ssh (1): Magdagdag ng pagpipilian sa IdentityAgent upang payagan ang pagtukoy ng mga tukoy na socket ng ahente sa halip na pagtanggap ng isa mula sa kapaligiran. ssh (1): Payagan ang ExitOnForwardFailure at ClearAllForwardings na opsyonal na i-override kapag gumagamit ng ssh -W. bz # 2577
- ssh (1), sshd (8): Ipatupad ang suporta para sa mode ng terminal ng IUTF8 ayon sa bawat draft-sgtatham-secsh-iutf8-00. ssh (1), sshd (8): Magdagdag ng suporta para sa karagdagang mga pangkat na Diffie-Hellman 2K, 4K at 8K mula sa draft-ietf-curdle-ssh-kex-sha2-03.
- ssh-keygen (1), ssh (1), sshd (8): suporta SHA256 at SHA512 RSA na mga lagda sa mga certificate; ssh (1): Magdagdag ng direktibong Isama para sa ssh_config (5) na mga file.
- ssh (1): Pahintulutan ang mga UTF-8 na character sa mga pre-authentication na mga banner na ipinadala mula sa server. bz # 2058
- Bugfixes:
- ssh (1), sshd (8): Bawasan ang antas ng syslog ng ilang karaniwang karaniwang mga kaganapan ng protocol mula sa LOG_CRIT. bz # 2585
- sshd (8): Tanggihan ang AuthenticationMethods = "" sa mga configuration at tanggapin ang AuthenticationMethods = anumang para sa default na pag-uugali ng hindi nangangailangan ng maramihang pagpapatunay. bz # 2398
- sshd (8): Alisin ang lipas na at nakaliligaw na "POSIBLE BREAK-IN AT TEMPT!" Ang mensahe kapag ang pasulong at reverse DNS ay hindi tumutugma. bz # 2585
- ssh (1): Isara ang ControlPersist background na proseso stderr maliban sa debug mode o kapag nag-log sa syslog. bz # 1988
- misc: Gumawa ng paglalarawan ng PROTOCOL para sa direktang stream ng channel ng channel ng direct-streamlocal@openssh.com tumutugma sa na-deploy na code. bz # 2529
- ssh (1): I-duplicate ang mga entry sa LocalForward at RemoteForward upang ayusin ang mga pagkabigo kapag pinagana ang parehong ExitOnForwardFailure at hostname canonicalisation. bz # 2562
- sshd (8): Alisin ang fallback mula sa moduli sa hindi na ginagamit na "primes" na file na hindi na ginagamit noong 2001. bz # 2559.
- sshd_config (5): Tamang paglalarawan ng UseDNS: nakakaapekto ito sa pagpoproseso ng ssh hostname para sa authorized_keys, hindi kilala_hosts; bz # 2554 ssh (1): Ayusin ang pagpapatunay gamit ang lone certificate keys sa isang agent na walang kaukulang mga pribadong key sa filesystem. bz # 2550
- sshd (8): Ipadala ang ClientAliveInterval ping kapag naka-set ang isang oras na batay sa RekeyLimit; Ang mga naunang keepalive packet ay hindi naipadala. bz # 2252
Ano ang bago sa bersyon 7.2:
- Seguridad:
- ssh (1), sshd (8): tanggalin ang hindi natapos na at hindi nagamit na roaming code (na pwersado nang pinagana sa OpenSSH 7.1p2).
- ssh (1): alisin ang fallback mula sa hindi matibay na pagpapasa ng X11 sa pinagkakatiwalaang pagpapasa kapag hindi pinapagana ng X server ang SECURITY extension.
- ssh (1), sshd (8): dagdagan ang pinakamababang laki ng modulus na suportado para sa diffie-hellman-group-exchange sa 2048 bits.
- sshd (8): pinagana na ngayon ang pre-auth sandboxing sa pamamagitan ng default (pinalaya na ng mga nakaraang release para sa mga bagong pag-install sa pamamagitan ng sshd_config).
- Mga Bagong Tampok:
- lahat: magdagdag ng suporta para sa mga lagda ng RSA gamit ang SHA-256/512 hash na mga algorithm batay sa draft-rsa-dsa-sha2-256-03.txt at draft-ssh-ext-info-04.txt.
- ssh (1): Magdagdag ng pagpipilian ng AddKeysToAgent client na maaaring itakda sa 'oo', 'no', 'magtanong', o 'kumpirmahin', at mga default sa 'no'. Kapag pinagana, ang isang pribadong key na ginamit sa panahon ng pagpapatunay ay idadagdag sa ssh-agent kung tumatakbo ito (na pinagana ang kumpirmasyon kung nakatakda sa 'kumpirmahin').
- sshd (8): magdagdag ng bagong opsiyon na authorized_keys "paghigpitan" na kasama ang lahat ng mga paghihigpit sa kasalukuyang at hinaharap (walang - * - pagpapasa, atbp.). Magdagdag din ng mga permissive na bersyon ng umiiral na mga paghihigpit, hal. "no-pty" - & gt; "pty". Pinapasimple nito ang gawain ng pag-set up ng mga pinaghigpitan na key at tinitiyak na sila ay limitado sa limitasyon, anuman ang anumang mga pahintulot na maipapatupad namin sa hinaharap. ssh (1): magdagdag ng opsyon sa ssh_config CertificateFile upang malinaw na ilista ang mga certificate. bz # 2436
- ssh-keygen (1): payagan ang ssh-keygen upang baguhin ang pangunahing komento para sa lahat ng mga sinusuportahang format.
- ssh-keygen (1): pinapayagan ang fingerprinting mula sa karaniwang input, hal. "ssh-keygen -lf -"
- ssh-keygen (1): pinapayagan ang fingerprinting ng maramihang pampublikong key sa isang file, hal. "ssh-keygen -lf ~ / .ssh / authorized_keys" bz # 1319
- sshd (8): suportahan ang "wala" bilang isang argument para sa sshd_config Foreground at ChrootDirectory. Kapaki-pakinabang sa loob ng Mga bloke ng pagtutugma upang i-override ang isang global default. bz # 2486
- ssh (1): mas mahusay na pangasiwaan ang nakabitin na FQDNs (hal. 'cvs.openbsd.org.') sa kanonicalisation ng hostname - ituring ang mga ito bilang mga kanonikal at alisin ang sumusunod na '.' bago tumutugma sa ssh_config.
- Bugfixes:
- sftp (1): hindi dapat wakasan ang mga direktang patutunguhang direktoryo ng recursive upload (pagbabalik sa openssh 6.8) bz # 2528
- ssh (1), sshd (8): ipadala nang tama ang SSH2_MSG_UNIMPLEMENTED na mga tugon sa mga hindi inaasahang mensahe sa panahon ng key exchange. bz # 2949
- ssh (1): tinatangkang pagtatangkang itakda ang ConnectionAttempts = 0, na kung saan ay walang kabuluhan at magiging sanhi ng ssh upang mag-print ng isang uninitialised stack variable. bz # 2500
- ssh (1): ayusin ang mga error kapag sinusubukan mong kumonekta sa scoped IPv6 address na pinagana ang canonicalisation ng hostname.
- sshd_config (5): ilista ang ilang karagdagang mga opsyon na magagamit sa mga bloke ng Pagtutugma. bz # 2489
- sshd (8): ayusin ang "PubkeyAcceptedKeyTypes + ..." sa loob ng isang bloke ng Pagtutugma. ssh (1): palawakin ang mga character na tilde sa mga file na ipinasa sa mga pagpipilian sa -i bago suriin kung mayroon man o wala ang file ng pagkakakilanlan. Iwasan ang pagkalito para sa mga kaso kung saan hindi lumalawak ang shell (hal. "-i ~ / file" kumpara sa "-i ~ / file"). bz # 2481
- ssh (1): huwag i-prepend ang "exec" sa command shell na pinapatakbo ng "Match exec" sa isang config file, na maaaring maging sanhi ng ilang mga utos na mabigo sa ilang mga kapaligiran. bz # 2471
- ssh-keyscan (1): ayusin ang output para sa maraming host / addrs sa isang linya kapag ang host hashing o isang hindi karaniwang port ay ginagamit bz # 2479
- sshd (8): laktawan ang "Hindi ma-chdir sa home directory" na mensahe kapag aktibo ang ChrootDirectory. bz # 2485
- ssh (1): isama PubkeyAcceptedKeyTypes sa ssh -G config dump. sshd (8): iwasan ang pagpapalit ng mga flags ng device ng TunnelForwarding kung mayroon na sila kung ano ang kinakailangan; ginagawang posible na gamitin ang tun / tap networking bilang hindi gumagamit ng root kung ang mga pahintulot ng aparato at mga flag ng interface ay pre-itinatag
- ssh (1), sshd (8): Maaaring lumagpas ang RekeyLimits ng isang packet. bz # 2521
- ssh (1): ayusin ang pagkawala ng master ng multiplexing upang mapansin ang exit ng kliyente.
- ssh (1), ssh-agent (1): maiwasan ang nakamamatay () para sa mga token ng PKCS11 na nagpapakita ng mga walang laman na key ID. bz # 1773
- sshd (8): maiwasan ang printf ng NULL argument. bz # 2535
- ssh (1), sshd (8): payagan ang RekeyLimits na mas malaki sa 4GB. bz # 2521
- ssh-keygen (1): sshd (8): ayusin ang ilang mga bug sa (hindi ginagamit) suporta sa KRL signature.
- ssh (1), sshd (8): ayusin ang mga koneksyon sa mga kapareha na gumagamit ng key exchange feature ng hula ng protocol. bz # 2515
- sshd (8): isama ang remote na numero ng port sa mga mensahe ng log. bz # 2503
- ssh (1): huwag subukang mag-load ng pribadong key ng SSHv1 kapag naipon nang walang SSHv1 na suporta. bz # 2505
- ssh-agent (1), ssh (1): ayusin ang mga hindi tamang mga mensahe ng error sa panahon ng mga pangunahing pag-load at mga error sa pag-sign. bz # 2507
- ssh-keygen (1): huwag iwanang walang laman ang mga pansamantalang file kapag ginagampanan ang mga naalamang kilala_hosts na mga pag-edit ng file kapag hindi kilala ang mga kilala_hosts.
- sshd (8): tamang format ng packet para sa tcpip-forward tugon para sa mga kahilingan na hindi maglaan ng port bz # 2509
- ssh (1), sshd (8): ayusin ang posibleng hang sa closed output. bz # 2469 ssh (1): palawakin ang% i sa ControlPath sa UID. bz # 2449
- ssh (1), sshd (8): ayusin ang return type ng openssh_RSA_verify. bz # 2460
- ssh (1), sshd (8): ayusin ang ilang opsyon sa pag-parse ng paglabas ng memory. bz # 2182
- ssh (1): magdagdag ng ilang output na debug bago ang resolusyon ng DNS; ito ay isang lugar kung saan ssh ay maaaring dati tahimik stall sa mga kaso ng mga hindi mapagdamay DNS server. bz # 2433 ssh (1): alisin ang hindi totoo newline sa visual hostkey. bz # 2686
- ssh (1): pag-print ng pag-print (ssh -G ...) ng HostKeyAlgorithms = + ...
- ssh (1): ayusin ang pagpapalawak ng HostkeyAlgorithms = + ...
- Documentation:
- ssh_config (5), sshd_config (5): i-update ang mga listahan ng default na algorithm upang tumugma sa kasalukuyang katotohanan. bz # 2527
- ssh (1): banggitin ang mga pagpipilian sa query na Q-key-plain at -Q key-cert. bz # 2455
- sshd_config (8): mas malinaw na naglalarawan kung ano ang AuthorizedKeysFile = wala.
- ssh_config (5): mas mahusay na dokumento ExitOnForwardFailure. bz # 2444
- sshd (5): banggitin ang panloob na mga grupo ng fallback ng panloob na DH-GEX sa manu-manong. bz # 2302
- sshd_config (5): mas mahusay na paglalarawan para sa pagpipiliang MaxSessions. bz # 2531
- Portability:
- ssh (1), sftp-server (8), ssh-agent (1), sshd (8): Mga espesyal na imprenta ng Illumos / Solaris. Kabilang ang isang pre-auth privsep sandbox at ilang pangako () emulations. bz # 2511
- Baguhin ang redhat / openssh.spec, pag-aalis ng mga hindi na ginagamit na opsyon at syntax.
- i-configure: payagan --without-ssl-engine na may --without-openssl
- sshd (8): ayusin ang maramihang pagpapatunay gamit ang S / Key. bz # 2502
- sshd (8): magbasa mula sa libcrypto RAND_before bumaba ang mga pribilehiyo. Iwasan ang mga paglabag sa sandboxing sa BoringSSL.
- Ayusin ang banggaan sa pangalan gamit ang globally (3) function na ibinigay ng system. bz # 2463
- Iangkop ang Makefile upang magamit ang ssh-keygen -A kapag bumubuo ng mga host key. bz # 2459
- i-configure: tamang tamang halaga para sa --with-ssh1 bz # 2457
- i-configure: mas mahusay na pagtuklas ng mga simbolo ng mga simbolo bz # 2259
- suportahan ang getrandom () syscall sa Linux
ssh-keygen (1): sumusuporta sa maramihang mga sertipiko (isa sa bawat linya) at pagbabasa mula sa karaniwang input (gamit ang "-f -") para sa "ssh-keygen -L" ssh-keyscan (1): idagdag ang "ssh- keyscan -c ... "flag upang payagan ang pagkuha ng mga certificate sa halip ng mga plain key.
Ano ang bago sa bersyon 7.1:
- Seguridad:
- sshd (8): Ang OpenSSH 7.0 ay naglalaman ng isang error sa lohika sa PermitRootLogin = pagbabawal-password / walang-password na maaaring, depende sa pagsasaayos ng time-compile, pahintulutan ang pagpapatunay ng password sa root habang pinipigilan ang iba pang mga form ng pagpapatunay. Ang problemang ito ay iniulat ni Mantas Mikulenas.
- Bugfixes:
- ssh (1), sshd (8): magdagdag ng mga compatability workaround para sa FuTTY
- ssh (1), sshd (8): pinuhin ang compatability workarounds para sa WinSCP
- Ayusin ang isang bilang ng mga memory faults (double-free, walang uninitialised memory, atbp) sa ssh (1) at ssh-keygen (1). Iniulat ni Mateusz Kocielski.
Mga Komento hindi natagpuan