OpenSSH

Az OpenSSH egy szabadon elosztott és nyílt forráskódú szoftver, egy könyvtár és parancssori program, amely a GNU / Linux operációs rendszer hátterében fut és védi az egész hálózatot a behatolók és a támadók ellen. Ez az SSH (Secure Shell) specifikáció nyílt forráskódú változata, kifejezetten

Az OpenSSH egy nyílt forrású projekt, amelyet szabad licenc alatt terjesztettek. Erős hitelesítést nyújt a nyilvános kulcs, a Kerberos hitelesítés és az egyszeri jelszó szabványok alapján, az AES, Blowfish, Arcfour és 3DES algoritmusokon alapuló erőteljes titkosítás, az X11 átirányítás támogatja az egész X Window System forgalom titkosítását, valamint az AFS és az AFS Kerberos jegyek átadása.

Továbbá a szoftver-szolgáltatás port-továbbítás támogatása a régi protokollok, az adatok tömörítési támogatásának, az ügynököt továbbító támogatásnak az SSL-hitelesítési szabvány és az SFTP (Secure FTP) kiszolgáló és kliens támogatás segítségével történő titkosításával SSH2 vagy SSH1 protokollt.

Egy másik érdekes szolgáltatás az interoperabilitás, ami azt jelenti, hogy a projekt megfelel az eredeti SSH (Secure Shell) protokoll 1.3, 1.5 és 2.0 verzióinak. Telepítés után az OpenSSH automatikusan felváltja a szabványos FTP, Telnet, RCP és rlogin programokat biztonságos verziókkal, mint például az SFTP, az SCP és az SSH.

Az OpenSSH projekt teljes egészében a C programozási nyelvben készült. Ez a fő SSH implementációból és az SSH démonból állt, amely a háttérben fut. A szoftvert főként univerzális forrás archívumként terjesztik, amely mind a 32 bites, mind pedig a 64 bites architektúrákkal együttműködik bármely GNU / Linux operációs rendszerrel.

Az OpenSSH protokoll hordozható verziója ingyenesen letölthető a Softoware-ra, az úgynevezett Portable OpenSSH. Ez a Linux, BSD és Solaris operációs rendszerek SSH 1. verziója és SSH 2. verziója protokollok nyílt forráskódú megvalósítása.

Az újdonság ebben a kiadásban:

• Potenciálisan inkompatibilis változások:
• Ez a kiadás számos változást tartalmaz, amelyek befolyásolhatják a meglévő konfigurációkat:
• Ez a verzió eltávolítja az SSH v.1 protokollt támogató szerver támogatást.
• ssh (1): Távolítsa el a 3des-cbc fájlt az ügyfél alapértelmezett javaslatából. A 64 bites blokk-titkosítók 2016-ban nem biztonságosak, és nem akarunk várni, amíg az SWEET32 támadások kiterjesztésre kerülnek az SSH-ra. Mivel a 3des-cbc az egyetlen kötelező titkosítás az SSH RFC-kben, ez problémákat okozhat a régebbi eszközökhöz az alapértelmezett konfiguráció használatával, de nagyon valószínű, hogy az ilyen eszközök máris kifejezetten konfiguráltak kulcscsere- és host kulcs algoritmusokat. sshd (8): Támogatja a támogatást a hitelesítés előtti tömörítéshez. A protokoll elején a kompresszió korai felismerése valószínűleg ésszerűnek tűnt az 1990-es években, de ma egyértelműen rossz elképzelés mind a kriptográfia (pl. A TLS többszörös tömörítési oracle támadása), mind a támadási felület tekintetében. Az elő-auth tömörítési támogatás alapértelmezés szerint le van tiltva & gt; 10 évre. Az ügyfél továbbra is támogatja. Az ssh-agent elutasítja a PKCS # 11 modulok betöltését a megbízható útvonalak engedélyezett listáján kívül. Az útvonal engedélyezési listája megadható futási idő alatt.
• sshd (8): Ha egy kényszerutas parancs megjelenik mind a tanúsítványban, mind az engedélyezett kulcsok / parancsok parancs = korlátozásakor, akkor az sshd megtagadja a tanúsítvány elfogadását, hacsak nem azonosak. Az előző (dokumentált) magatartás, amelynek a kényszer kényszer-parancs felülírja a másikat, egy kicsit zavaró és hibás lehet. sshd (8): Távolítsa el a UseLogin konfigurációs direktíva és a login / session / sessions kezelése / bin / login kezelése.
• Változások az OpenSSH 7.3 óta:
• Biztonság:
• ssh-agent (1): Most megtagadja a PKCS # 11 modulok betöltését a megbízható engedélyező listán kívül eső útvonalakról (futásidejű konfigurálható). A modulok betöltésére irányuló kérelmeket át lehet adni az ügynök továbbításával, és a támadó megpróbálhat egy ellenséges PKCS # 11 modult feltölteni a továbbított ügynökcsatornán: a PKCS # 11 modulok megosztott könyvtárak, így ez végrehajtását az ssh -ügynök, ha a támadó az átirányított ügynök-aljzat (az sshd-kiszolgáló futtatóján) vezérlése és az ssh-agent (általában az ssh klienst futtató gazdagép) fájlrendszerére ír. Jelentette Jann Horn a Project Zero-tól.
• sshd (8): Ha a jogosultságok szétválasztása le van tiltva, a továbbított Unix-domain csomópontokat az sshd (8) hozza létre a hitelesített felhasználó helyett a "root" jogosultságokkal. Ez a kiadás megtagadja a Unix-tartománybeli socket továbbítást, ha a jogosultságok leválasztása le van tiltva (a Privilege elválasztása alapértelmezés szerint 14 évre engedélyezett). Jelentette Jann Horn a Project Zero-tól.
• sshd (8): Kerülje el a gazdagép magánkulcsos anyag elméleti szivárgását a privilegizált, elkülönített gyermek folyamatokhoz a realloc () kulcsok olvasásakor. A normál méretű kulcsok esetében a gyakorlatban ilyen szivárgást nem észleltek, és a gyermekek szivárgása sem közvetíti a kulcsfontosságú anyagokat a hátrányos helyzetű felhasználóknak. Jelentette Jann Horn a Project Zero-tól.
• sshd (8): Az előhitelesítési tömörítés támogatása által használt megosztott memória-kezelőnek van egy határellenőrzése, amelyet néhány optimalizálási fordító ellehet. Ezenkívül ez a memóriakezelő helytelenül volt elérhető, ha az elő-hitelesítési tömörítést letiltották. Ez potenciálisan lehetővé teheti a kiváltságos monitorfolyamat elleni támadásokat a sandboxes kiváltságok elválasztási folyamatából (az utóbbinak kompromisszuma először szükséges). Ez a kiadás megszünteti a sshd (8) előhitelesítési tömörítés támogatását. Guido Vranken jelentése a Stack instabil optimalizálási azonosítási eszköz használatával (http://css.csail.mit.edu/stack/)
• sshd (8): A szolgáltatás megtagadása, ahol egy támadó, aki több KEXINIT üzenetet küld, legfeljebb 128 MB kapcsolatonként használhatja. A Gear Team Shi Lei jelentése: Qihoo 360.
• sshd (8): Ellenőrizze az AllowUser és a DenyUsers irányelvek címtartományait a konfiguráció betöltési idejében, és ne fogadja el az érvényteleneket. Korábban lehetett megadni érvénytelen CIDR címtartományokat (például user@127.1.2.3/55), és ezek mindig megegyeznek, ami esetleg hozzáférést biztosítana, ahol nem volt cél. Jelentette Laurence Parry.
• Új funkciók:
• ssh (1): Adjon hozzá egy proxy multiplexelési módot az ssh (1) -hoz, amit Simon Tatham PuTTY verziója inspirált. Ez lehetővé teszi, hogy egy multiplexelő kliens kommunikáljon a masterfolyamattal az SSH csomag egy részhalmaza és egy Unix tartományi aljzaton keresztül csatorna protokollt, a főfolyamat pedig a csatornaazonosítót lefordító proxyként működik stb. Ez lehetővé teszi a multiplexelési mód futását olyan rendszerek, amelyek nem rendelkeznek a fájlleíró-áthaladással (az aktuális multiplexelési kód használata), esetleg a Unix-tartományi socket továbbítással együtt, az ügyfél és multiplexing master művelet különböző gépeken. A multiplexáló proxy módot az "ssh -O proxy ..." kifejezéssel lehet meghívni
• sshd (8): Adjon hozzá egy sshd_config DisableForwarding opciót, amely letiltja az X11, az ügynök, a TCP, az alagút és a Unix domaincsatlakozó továbbítását, valamint bármi mást, amit a jövőben megvalósíthatunk. Az "engedélyezett" zárolási jel korlátozásához hasonlóan ez a fiók korlátozásának egyszerű és jövőbeli módja.
• sshd (8), ssh (1): támogatja a "curve25519-sha256" kulcscsere módszer. Ez megegyezik az aktuálisan támogatott módszerrel, a & quot; curve25519-sha256@libssh.org & quot ;.
• sshd (8): A SIGHUP kezelésének javítása azáltal, hogy megnézi, hogy az sshd már elindult-e az indításkor, és ha igen, kihagyja a hívást a démonhoz (3). Ez biztosítja, hogy az sshd (8) SIGHUP újraindítása ugyanazt a folyamatazonosítót tartalmazza, mint a kezdeti végrehajtás. Az sshd (8) szintén megszünteti a PidFile-t a SIGHUP újraindítása előtt, és sikeres újraindítás után újból létrehozza, nem pedig egy konfigurációs hiba esetén egy elfagyott fájlt hagyva. bz # 2641
• sshd (8): A ClientAliveInterval és a ClientAliveCountMax direktívák megjelenése az sshd_config Matchblokkokban.
• sshd (8): Adja hozzá a% -escapes-t az AuthorizedPrincipalsCommand-hoz, hogy megfeleljen a AuthorizedKeysCommand (kulcs, kulcs típus, ujjlenyomat stb.) által támogatottaknak és néhány további hozzáférést a kínált tanúsítvány tartalmához.
• Hozzáadott regressziós teszteket a karakterláncok illesztéséhez, a címek illesztéséhez és a sztring tisztítási funkciókhoz.
• Javította a kulcscsere-fuzzer hámát.
• Bugfixek:
• ssh (1): Az IdentityFile lehetővé teszi, hogy sikeresen töltsék be és használják azokat a tanúsítványokat, amelyek nem tartalmaznak megfelelő nyilvános kulcsot. bz # 2617 tanúsítvány id_rsa-cert.pub (és nincs id_rsa.pub).
• ssh (1): Javítás a nyilvános kulcsú azonosításnál, ha több hitelesítést használ, és a publickey nem csak az első módszer. bz # 2642
• regressz: Engedélyezze a PuTTY interop tesztek felügyelet nélküli futtatását. bz # 2639
• ssh-agent (1), ssh (1): javítja a jelentést amikor PKCS # 11 tokeneket próbál betölteni kevesebb haszontalan naplóüzenetekkel és részletesebben a hibakeresési üzenetekben. bz # 2610
• ssh (1): A ControlMaster kapcsolatok felszakításakor ne szennyezze az stderr-t, ha a LogLevel = csendes.
• sftp (1): ^ ^ várjon, amíg az ssh (1) felfüggesztése előtt felfüggeszti az sft (1) felfüggesztését annak biztosítására, hogy az ssh (1) helyreállítsa helyesen a terminál módját,
• ssh (1): Ne felejtse el a várakozást, ha az ssh (1) felfüggesztésre kerül a jelszó kérése alatt.
• ssh (1), sshd (8): Az ext-info üzenetek küldésekor helyesen jelent hibákat.
• sshd (8): javítsa meg a NULL-deref crash-ot, ha az sshd (8) egy újabb NEWKEYS üzenetet kapott.
• sshd (8): A kiszolgáló-sig-algs kiterjesztésben elküldött támogatott algoritmusok helyes listája. bz # 2547
• sshd (8): Erősítse az ext_info üzenet küldését, ha a privsep le van tiltva.
• sshd (8): szigorúbban érvényesítse a hitelesítéshez használt privilégium-elválasztás-figyelő hívások várt rendelését, és csak akkor engedélyezze őket, ha a megfelelő hitelesítési módok engedélyezve vannak a
• sshd (8): Fix ininitialised optlen a getsockopt () hívásban; ártalmatlan a Unix / BSD-nél, de esetleg összeomlik a Cygwin-en.
• Az explicit_bzero (3) által okozott hamis pozitív jelentések helyesbítését nem ismeri fel a memória-inicializálónak a -fsanitize-memória segítségével. sshd_config (5): Használja a 2001: db8 :: / 32, a konfigurációs példákhoz tartozó hivatalos IPv6 alhálózatot.
• hordozhatóság:
• A török ​​helyekkel konfigurált környezetek esetén a C / POSIX helyre esik vissza, hogy elkerülje a konfigurációs elemzés hibáit, melyet az adott "I" és "I" betűk egyedi kezelése okozott. bz # 2643
• sftp-server (8), ssh-agent (1): A ptrace (PT_DENY_ATTACH, ..)
• ssh (1), sshd (8): Megszünteti az AES-CTR titkosítókat a régi (~ 0.9.8) OpenSSL-en.
• Fix összeállítás a libcrypto számára, amelyet RIPEMD160 támogatás nélkül állítottak össze.
• contrib: Adjon hozzá egy gnome-ssh-askpass3-t GTK + 3 támogatással. bz # 2640 sshd (8): Javítsd a PRNG reseeding-et a kiváltságok szétválasztása és az erő libcrypto segítségével, hogy kiváló minőségű magot kapj a chroot vagy sandboxing előtt.
• Minden: Explicit teszt a sérült strnvis. A NetBSD egy strnvis-ot adott hozzá, és sajnos összeegyeztethetetlenné tette a meglévő OpenBSD-ben és a Linux libbsd-ben (az előbbi több mint tíz éve létezett). Próbálja meg észlelni ezt a rendetlenséget, és vállalja az egyetlen biztonságos lehetőséget, ha keresztkötés alatt állunk.

Újdonság a verzióban:

• Potenciálisan inkompatibilis változások:
• Ez a kiadás számos változást tartalmaz, amelyek befolyásolhatják a meglévő konfigurációkat:
• Ez a verzió eltávolítja az SSH v.1 protokollt támogató szerver támogatást.
• ssh (1): Távolítsa el a 3des-cbc fájlt az ügyfél alapértelmezett javaslatából. A 64 bites blokk-titkosítók 2016-ban nem biztonságosak, és nem akarunk várni, amíg az SWEET32 támadások kiterjesztésre kerülnek az SSH-ra. Mivel a 3des-cbc az egyetlen kötelező titkosítás az SSH RFC-kben, ez problémákat okozhat a régebbi eszközökhöz az alapértelmezett konfiguráció használatával, de nagyon valószínű, hogy az ilyen eszközök máris kifejezetten konfiguráltak kulcscsere- és host kulcs algoritmusokat. sshd (8): Támogatja a támogatást a hitelesítés előtti tömörítéshez. A protokoll elején a kompresszió korai felismerése valószínűleg ésszerűnek tűnt az 1990-es években, de ma egyértelműen rossz elképzelés mind a kriptográfia (pl. A TLS többszörös tömörítési oracle támadása), mind a támadási felület tekintetében. Az elő-auth tömörítési támogatás alapértelmezés szerint le van tiltva & gt; 10 évre. Az ügyfél továbbra is támogatja. Az ssh-agent elutasítja a PKCS # 11 modulok betöltését a megbízható útvonalak engedélyezett listáján kívül. Az útvonal engedélyezési listája megadható futási idő alatt.
• sshd (8): Ha egy kényszerutas parancs megjelenik mind a tanúsítványban, mind az engedélyezett kulcsok / parancsok parancs = korlátozásakor, akkor az sshd megtagadja a tanúsítvány elfogadását, hacsak nem azonosak. Az előző (dokumentált) magatartás, amelynek a kényszer kényszer-parancs felülírja a másikat, egy kicsit zavaró és hibás lehet. sshd (8): Távolítsa el a UseLogin konfigurációs direktíva és a login / session / sessions kezelése / bin / login kezelése.
• Változások az OpenSSH 7.3 óta:
• Biztonság:
• ssh-agent (1): Most megtagadja a PKCS # 11 modulok betöltését a megbízható engedélyező listán kívül eső útvonalakról (futásidejű konfigurálható). A modulok betöltésére irányuló kérelmeket át lehet adni az ügynök továbbításával, és a támadó megpróbálhat egy ellenséges PKCS # 11 modult feltölteni a továbbított ügynökcsatornán: a PKCS # 11 modulok megosztott könyvtárak, így ez végrehajtását az ssh -ügynök, ha a támadó az átirányított ügynök-aljzat (az sshd-kiszolgáló futtatóján) vezérlése és az ssh-agent (általában az ssh klienst futtató gazdagép) fájlrendszerére ír. Jelentette Jann Horn a Project Zero-tól.
• sshd (8): Ha a jogosultságok szétválasztása le van tiltva, a továbbított Unix-domain csomópontokat az sshd (8) hozza létre a hitelesített felhasználó helyett a "root" jogosultságokkal. Ez a kiadás megtagadja a Unix-tartománybeli socket továbbítást, ha a jogosultságok leválasztása le van tiltva (a Privilege elválasztása alapértelmezés szerint 14 évre engedélyezett). Jelentette Jann Horn a Project Zero-tól.
• sshd (8): Kerülje el a gazdagép magánkulcsos anyag elméleti szivárgását a privilegizált, elkülönített gyermek folyamatokhoz a realloc () kulcsok olvasásakor. A normál méretű kulcsok esetében a gyakorlatban ilyen szivárgást nem észleltek, és a gyermekek szivárgása sem közvetíti a kulcsfontosságú anyagokat a hátrányos helyzetű felhasználóknak. Jelentette Jann Horn a Project Zero-tól.
• sshd (8): Az előhitelesítési tömörítés támogatása által használt megosztott memória-kezelőnek van egy határellenőrzése, amelyet néhány optimalizálási fordító ellehet. Ezenkívül ez a memóriakezelő helytelenül volt elérhető, ha az elő-hitelesítési tömörítést letiltották. Ez potenciálisan lehetővé teheti a kiváltságos monitorfolyamat elleni támadásokat a sandboxes kiváltságok elválasztási folyamatából (az utóbbinak kompromisszuma először szükséges). Ez a kiadás megszünteti a sshd (8) előhitelesítési tömörítés támogatását. Guido Vranken jelentése a Stack instabil optimalizálási azonosítási eszköz használatával (http://css.csail.mit.edu/stack/)
• sshd (8): A szolgáltatás megtagadása, ahol egy támadó, aki több KEXINIT üzenetet küld, legfeljebb 128 MB kapcsolatonként használhatja. A Gear Team Shi Lei jelentése: Qihoo 360.
• sshd (8): Ellenőrizze az AllowUser és a DenyUsers irányelvek címtartományait a konfiguráció betöltési idejében, és ne fogadja el az érvényteleneket. Korábban lehetett megadni érvénytelen CIDR címtartományokat (például user@127.1.2.3/55), és ezek mindig megegyeznek, ami esetleg hozzáférést biztosítana, ahol nem volt cél. Jelentette Laurence Parry.
• Új funkciók:
• ssh (1): Adjon hozzá egy proxy multiplexelési módot az ssh (1) -hoz, amit Simon Tatham PuTTY verziója inspirált. Ez lehetővé teszi, hogy egy multiplexelő kliens kommunikáljon a masterfolyamattal az SSH csomag egy részhalmaza és egy Unix tartományi aljzaton keresztül csatorna protokollt, a főfolyamat pedig a csatornaazonosítót lefordító proxyként működik stb. Ez lehetővé teszi a multiplexelési mód futását olyan rendszerek, amelyek nem rendelkeznek a fájlleíró-áthaladással (az aktuális multiplexelési kód használata), esetleg a Unix-tartományi socket továbbítással együtt, az ügyfél és multiplexing master művelet különböző gépeken. A multiplexáló proxy módot az "ssh -O proxy ..." kifejezéssel lehet meghívni
• sshd (8): Adjon hozzá egy sshd_config DisableForwarding opciót, amely letiltja az X11, az ügynök, a TCP, az alagút és a Unix domaincsatlakozó továbbítását, valamint bármi mást, amit a jövőben megvalósíthatunk. Az "engedélyezett" zárolási jel korlátozásához hasonlóan ez a fiók korlátozásának egyszerű és jövőbeli módja.
• sshd (8), ssh (1): támogatja a "curve25519-sha256" kulcscsere módszer. Ez megegyezik az aktuálisan támogatott módszerrel, a & quot; curve25519-sha256@libssh.org & quot ;.
• sshd (8): A SIGHUP kezelésének javítása azáltal, hogy megnézi, hogy az sshd már elindult-e az indításkor, és ha igen, kihagyja a hívást a démonhoz (3). Ez biztosítja, hogy az sshd (8) SIGHUP újraindítása ugyanazt a folyamatazonosítót tartalmazza, mint a kezdeti végrehajtás. Az sshd (8) szintén megszünteti a PidFile-t a SIGHUP újraindítása előtt, és sikeres újraindítás után újból létrehozza, nem pedig egy konfigurációs hiba esetén egy elfagyott fájlt hagyva. bz # 2641
• sshd (8): A ClientAliveInterval és a ClientAliveCountMax direktívák megjelenése az sshd_config Matchblokkokban.
• sshd (8): Adja hozzá a% -escapes-t az AuthorizedPrincipalsCommand-hoz, hogy megfeleljen a AuthorizedKeysCommand (kulcs, kulcs típus, ujjlenyomat stb.) által támogatottaknak és néhány további hozzáférést a kínált tanúsítvány tartalmához.
• Hozzáadott regressziós teszteket a karakterláncok illesztéséhez, a címek illesztéséhez és a sztring tisztítási funkciókhoz.
• Javította a kulcscsere-fuzzer hámát.
• Bugfixek:
• ssh (1): Az IdentityFile lehetővé teszi, hogy sikeresen töltsék be és használják azokat a tanúsítványokat, amelyek nem tartalmaznak megfelelő nyilvános kulcsot. bz # 2617 tanúsítvány id_rsa-cert.pub (és nincs id_rsa.pub).
• ssh (1): Javítás a nyilvános kulcsú azonosításnál, ha több hitelesítést használ, és a publickey nem csak az első módszer. bz # 2642
• regressz: Engedélyezze a PuTTY interop tesztek felügyelet nélküli futtatását. bz # 2639
• ssh-agent (1), ssh (1): javítja a jelentést amikor PKCS # 11 tokeneket próbál betölteni kevesebb haszontalan naplóüzenetekkel és részletesebben a hibakeresési üzenetekben. bz # 2610
• ssh (1): A ControlMaster kapcsolatok felszakításakor ne szennyezze az stderr-t, ha a LogLevel = csendes.
• sftp (1): ^ ^ várjon, amíg az ssh (1) felfüggesztése előtt felfüggeszti az sft (1) felfüggesztését annak biztosítására, hogy az ssh (1) helyreállítsa helyesen a terminál módját,
• ssh (1): Ne felejtse el a várakozást, ha az ssh (1) felfüggesztésre kerül a jelszó kérése alatt.
• ssh (1), sshd (8): Az ext-info üzenetek küldésekor helyesen jelent hibákat.
• sshd (8): javítsa meg a NULL-deref crash-ot, ha az sshd (8) egy újabb NEWKEYS üzenetet kapott.
• sshd (8): A kiszolgáló-sig-algs kiterjesztésben elküldött támogatott algoritmusok helyes listája. bz # 2547
• sshd (8): Erősítse az ext_info üzenet küldését, ha a privsep le van tiltva.
• sshd (8): szigorúbban érvényesítse a hitelesítéshez használt privilégium-elválasztás-figyelő hívások várt rendelését, és csak akkor engedélyezze őket, ha a megfelelő hitelesítési módok engedélyezve vannak a
• sshd (8): Fix ininitialised optlen a getsockopt () hívásban; ártalmatlan a Unix / BSD-nél, de esetleg összeomlik a Cygwin-en.
• Az explicit_bzero (3) által okozott hamis pozitív jelentések helyesbítését nem ismeri fel a memória-inicializálónak a -fsanitize-memória segítségével. sshd_config (5): Használja a 2001: db8 :: / 32, a konfigurációs példákhoz tartozó hivatalos IPv6 alhálózatot.
• hordozhatóság:
• A török ​​helyekkel konfigurált környezetek esetén a C / POSIX helyre esik vissza, hogy elkerülje a konfigurációs elemzés hibáit, melyet az adott "I" és "I" betűk egyedi kezelése okozott. bz # 2643
• sftp-server (8), ssh-agent (1): A ptrace (PT_DENY_ATTACH, ..)
• ssh (1), sshd (8): Megszünteti az AES-CTR titkosítókat a régi (~ 0.9.8) OpenSSL-en.
• Fix összeállítás a libcrypto számára, amelyet RIPEMD160 támogatás nélkül állítottak össze.
• contrib: Adjon hozzá egy gnome-ssh-askpass3-t GTK + 3 támogatással. bz # 2640 sshd (8): Javítsd a PRNG reseeding-et a kiváltságok szétválasztása és az erő libcrypto segítségével, hogy kiváló minőségű magot kapj a chroot vagy sandboxing előtt.
• Minden: Explicit teszt a sérült strnvis. A NetBSD egy strnvis-ot adott hozzá, és sajnos összeegyeztethetetlenné tette a meglévő OpenBSD-ben és a Linux libbsd-ben (az előbbi több mint tíz éve létezett). Próbálja meg észlelni ezt a rendetlenséget, és vállalja az egyetlen biztonságos lehetőséget, ha keresztkötés alatt állunk.

Az újdonság a 7.4-es verzióban:

• Potenciálisan inkompatibilis változások:
• Ez a kiadás számos változást tartalmaz, amelyek befolyásolhatják a meglévő konfigurációkat:
• Ez a verzió eltávolítja az SSH v.1 protokollt támogató szerver támogatást.
• ssh (1): Távolítsa el a 3des-cbc fájlt az ügyfél alapértelmezett javaslatából. A 64 bites blokk-titkosítók 2016-ban nem biztonságosak, és nem akarunk várni, amíg az SWEET32 támadások kiterjesztésre kerülnek az SSH-ra. Mivel a 3des-cbc az egyetlen kötelező titkosítás az SSH RFC-kben, ez problémákat okozhat a régebbi eszközökhöz az alapértelmezett konfiguráció használatával, de nagyon valószínű, hogy az ilyen eszközök máris kifejezetten konfiguráltak kulcscsere- és host kulcs algoritmusokat. sshd (8): Támogatja a támogatást a hitelesítés előtti tömörítéshez. A protokoll elején a kompresszió korai felismerése valószínűleg ésszerűnek tűnt az 1990-es években, de ma egyértelműen rossz elképzelés mind a kriptográfia (pl. A TLS többszörös tömörítési oracle támadása), mind a támadási felület tekintetében. Az elő-auth tömörítési támogatás alapértelmezés szerint le van tiltva & gt; 10 évre. Az ügyfél továbbra is támogatja. Az ssh-agent elutasítja a PKCS # 11 modulok betöltését a megbízható útvonalak engedélyezett listáján kívül. Az útvonal engedélyezési listája megadható futási idő alatt.
• sshd (8): Ha egy kényszerutas parancs megjelenik mind a tanúsítványban, mind az engedélyezett kulcsok / parancsok parancs = korlátozásakor, akkor az sshd megtagadja a tanúsítvány elfogadását, hacsak nem azonosak. Az előző (dokumentált) magatartás, amelynek a kényszer kényszer-parancs felülírja a másikat, egy kicsit zavaró és hibás lehet. sshd (8): Távolítsa el a UseLogin konfigurációs direktíva és a login / session / sessions kezelése / bin / login kezelése.
• Változások az OpenSSH 7.3 óta:
• Biztonság:
• ssh-agent (1): Most megtagadja a PKCS # 11 modulok betöltését a megbízható engedélyező listán kívül eső útvonalakról (futásidejű konfigurálható). A modulok betöltésére irányuló kérelmeket át lehet adni az ügynök továbbításával, és a támadó megpróbálhat egy ellenséges PKCS # 11 modult feltölteni a továbbított ügynökcsatornán: a PKCS # 11 modulok megosztott könyvtárak, így ez végrehajtását az ssh -ügynök, ha a támadó az átirányított ügynök-aljzat (az sshd-kiszolgáló futtatóján) vezérlése és az ssh-agent (általában az ssh klienst futtató gazdagép) fájlrendszerére ír. Jelentette Jann Horn a Project Zero-tól.
• sshd (8): Ha a jogosultságok szétválasztása le van tiltva, a továbbított Unix-domain csomópontokat az sshd (8) hozza létre a hitelesített felhasználó helyett a "root" jogosultságokkal. Ez a kiadás megtagadja a Unix-tartománybeli socket továbbítást, ha a jogosultságok leválasztása le van tiltva (a Privilege elválasztása alapértelmezés szerint 14 évre engedélyezett). Jelentette Jann Horn a Project Zero-tól.
• sshd (8): Kerülje el a gazdagép magánkulcsos anyag elméleti szivárgását a privilegizált, elkülönített gyermek folyamatokhoz a realloc () kulcsok olvasásakor. A normál méretű kulcsok esetében a gyakorlatban ilyen szivárgást nem észleltek, és a gyermekek szivárgása sem közvetíti a kulcsfontosságú anyagokat a hátrányos helyzetű felhasználóknak. Jelentette Jann Horn a Project Zero-tól.
• sshd (8): Az előhitelesítési tömörítés támogatása által használt megosztott memória-kezelőnek van egy határellenőrzése, amelyet néhány optimalizálási fordító ellehet. Ezenkívül ez a memóriakezelő helytelenül volt elérhető, ha az elő-hitelesítési tömörítést letiltották. Ez potenciálisan lehetővé teheti a kiváltságos monitorfolyamat elleni támadásokat a sandboxes kiváltságok elválasztási folyamatából (az utóbbinak kompromisszuma először szükséges). Ez a kiadás megszünteti a sshd (8) előhitelesítési tömörítés támogatását. Guido Vranken jelentése a Stack instabil optimalizálási azonosítási eszköz használatával (http://css.csail.mit.edu/stack/)
• sshd (8): A szolgáltatás megtagadása, ahol egy támadó, aki több KEXINIT üzenetet küld, legfeljebb 128 MB kapcsolatonként használhatja. A Gear Team Shi Lei jelentése: Qihoo 360.
• sshd (8): Ellenőrizze az AllowUser és a DenyUsers irányelvek címtartományait a konfiguráció betöltési idejében, és ne fogadja el az érvényteleneket. Korábban lehetett megadni érvénytelen CIDR címtartományokat (például user@127.1.2.3/55), és ezek mindig megegyeznek, ami esetleg hozzáférést biztosítana, ahol nem volt cél. Jelentette Laurence Parry.
• Új funkciók:
• ssh (1): Adjon hozzá egy proxy multiplexelési módot az ssh (1) -hoz, amit Simon Tatham PuTTY verziója inspirált. Ez lehetővé teszi, hogy egy multiplexelő kliens kommunikáljon a masterfolyamattal az SSH csomag egy részhalmaza és egy Unix tartományi aljzaton keresztül csatorna protokollt, a főfolyamat pedig a csatornaazonosítót lefordító proxyként működik stb. Ez lehetővé teszi a multiplexelési mód futását olyan rendszerek, amelyek nem rendelkeznek a fájlleíró-áthaladással (az aktuális multiplexelési kód használata), esetleg a Unix-tartományi socket továbbítással együtt, az ügyfél és multiplexing master művelet különböző gépeken. A multiplexáló proxy mód hívható az "ssh -O proxy ..." használatával
• sshd (8): Adjon hozzá egy sshd_config DisableForwarding opciót, amely letiltja az X11, az ügynök, a TCP, az alagút és a Unix domaincsatlakozó továbbítását, valamint bármi mást, amit a jövőben megvalósíthatunk. Az "engedélyezett" zárolási jel korlátozásához hasonlóan ez a fiók korlátozásának egyszerű és jövőbeli módja.
• sshd (8), ssh (1): Támogatja a "curve25519-sha256" kulcscsere módszert. Ez megegyezik a "curve25519-sha256@libssh.org" nevű jelenleg támogatott módszerrel.
• sshd (8): A SIGHUP kezelésének javítása azáltal, hogy megnézi, hogy az sshd már elindult-e az indításkor, és ha igen, kihagyja a hívást a démonhoz (3). Ez biztosítja, hogy az sshd (8) SIGHUP újraindítása ugyanazt a folyamatazonosítót tartalmazza, mint a kezdeti végrehajtás. Az sshd (8) szintén megszünteti a PidFile-t a SIGHUP újraindítása előtt, és sikeres újraindítás után újból létrehozza, nem pedig egy konfigurációs hiba esetén egy elfagyott fájlt hagyva. bz # 2641
• sshd (8): A ClientAliveInterval és a ClientAliveCountMax direktívák megjelenése az sshd_config Matchblokkokban.
• sshd (8): Adja hozzá a% -escapes-t az AuthorizedPrincipalsCommand-hoz, hogy megfeleljen a AuthorizedKeysCommand (kulcs, kulcs típus, ujjlenyomat stb.) által támogatottaknak és néhány további hozzáférést a kínált tanúsítvány tartalmához.
• Hozzáadott regressziós teszteket a karakterláncok illesztéséhez, a címek illesztéséhez és a sztring tisztítási funkciókhoz.
• Javította a kulcscsere-fuzzer hámát.
• Bugfixek:
• ssh (1): Az IdentityFile lehetővé teszi, hogy sikeresen töltsék be és használják azokat a tanúsítványokat, amelyek nem tartalmaznak megfelelő nyilvános kulcsot. bz # 2617 tanúsítvány id_rsa-cert.pub (és nincs id_rsa.pub).
• ssh (1): Javítás a nyilvános kulcsú azonosításnál, ha több hitelesítést használ, és a publickey nem csak az első módszer. bz # 2642
• regressz: Engedélyezze a PuTTY interop tesztek felügyelet nélküli futtatását. bz # 2639
• ssh-agent (1), ssh (1): javítja a jelentést amikor PKCS # 11 tokeneket próbál betölteni kevesebb haszontalan naplóüzenetekkel és részletesebben a hibakeresési üzenetekben. bz # 2610
• ssh (1): A ControlMaster kapcsolatok felszakításakor ne szennyezze az stderr-t, ha a LogLevel = csendes.
• sftp (1): ^ ^ várjon, amíg az ssh (1) felfüggesztése előtt felfüggeszti az sft (1) felfüggesztését annak biztosítására, hogy az ssh (1) helyreállítsa helyesen a terminál módját,
• ssh (1): Ne felejtse el a várakozást, ha az ssh (1) felfüggesztésre kerül a jelszó kérése alatt.
• ssh (1), sshd (8): Az ext-info üzenetek küldésekor helyesen jelent hibákat.
• sshd (8): javítsa meg a NULL-deref crash-ot, ha az sshd (8) egy újabb NEWKEYS üzenetet kapott.
• sshd (8): A kiszolgáló-sig-algs kiterjesztésben elküldött támogatott algoritmusok helyes listája. bz # 2547
• sshd (8): Erősítse az ext_info üzenet küldését, ha a privsep le van tiltva.
• sshd (8): szigorúbban érvényesítse a hitelesítéshez használt privilégium-elválasztás-figyelő hívások várt rendelését, és csak akkor engedélyezze őket, ha a megfelelő hitelesítési módok engedélyezve vannak a
• sshd (8): Fix ininitialised optlen a getsockopt () hívásban; ártalmatlan a Unix / BSD-nél, de esetleg összeomlik a Cygwin-en.
• Az explicit_bzero (3) által okozott hamis pozitív jelentések helyesbítését nem ismeri fel a memória-inicializálónak a -fsanitize-memória segítségével. sshd_config (5): Használja a 2001: db8 :: / 32, a konfigurációs példákhoz tartozó hivatalos IPv6 alhálózatot.
• hordozhatóság:
• A török ​​helyekkel konfigurált környezetek esetén a C / POSIX helyre esik vissza, hogy elkerülje a konfigurációs elemzés hibáit, melyet az adott "I" és "I" betűk egyedi kezelése okozott. bz # 2643
• sftp-server (8), ssh-agent (1): A ptrace (PT_DENY_ATTACH, ..)
• ssh (1), sshd (8): Megszünteti az AES-CTR titkosítókat a régi (~ 0.9.8) OpenSSL-en.
• Fix összeállítás a libcrypto számára, amelyet RIPEMD160 támogatás nélkül állítottak össze.
• contrib: Adjon hozzá egy gnome-ssh-askpass3-t GTK + 3 támogatással. bz # 2640 sshd (8): Javítsd a PRNG reseeding-et a kiváltságok szétválasztása és az erő libcrypto segítségével, hogy kiváló minőségű magot kapj a chroot vagy sandboxing előtt.
• Minden: Explicit teszt a sérült strnvis. A NetBSD egy strnvis-ot adott hozzá, és sajnos összeegyeztethetetlenné tette a meglévő OpenBSD-ben és a Linux libbsd-ben (az előbbi több mint tíz éve létezett). Próbálja meg észlelni ezt a rendetlenséget, és vállalja az egyetlen biztonságos lehetőséget, ha keresztkötés alatt állunk.

Az újdonság a 7.3-as verzióban:

• Biztonság:
• sshd (8): Az sshd (8) segítségével csökkentse a rendszer titkosítási (3) függvényében rejlő potenciális szolgáltatásmegtagadást. A támadó nagyon hosszú jelszavakat küldhet, amelyek túlzott CPU felhasználást okoznának a kriptában (3). Az sshd (8) nem hajlandó elfogadni a 1024 karaktert meghaladó hosszúságú jelszavas hitelesítési kéréseket. Függetlenül jelentett Tomas Kuthan (Oracle), Andres Rojas és Javier Nieto.
• sshd (8): A jelszó-hitelesítés időzítési különbségeinek mérséklése, amelyek lehetővé teszik az érvénytelen fióknevek érvényességének megállapítását hosszú jelszavak küldésekor, és bizonyos jelszó-hasító algoritmusok használata a kiszolgálón. CVE-2016-6210, amelyet EddieEzra.Harari a verint.com-on közölt.
• ssh (1), sshd (8): Megoldja a megfigyelhető időzítési gyengeséget a CBC kitöltés oracle ellenintézkedésekben. Jelentette: Jean Paul Degabriele, Kenny Paterson, Torben Hansen és Martin Albrecht. Ne feledje, hogy a CBC titkosítási kódok alapértelmezés szerint le vannak tiltva, és csak a régi kompatibilitásra vonatkoznak.
• ssh (1), sshd (8): A MAC-hitelesítés műveleti sorrendjének javítása az Encrypt-then-MAC (EtM) módú közlekedési MAC algoritmusoknál a MAC ellenőrzéséhez a titkosított szöveg visszafejtése előtt. Ez kiküszöböli az időzítési különbségek lehetőségét, amelyek tényeket szivárognak a világos szövegről, bár ilyen szivárgást nem észleltek. Jelentette: Jean Paul Degabriele, Kenny Paterson, Torben Hansen és Martin Albrecht. sshd (8): (csak hordozható) Figyelmen kívül hagyja a PAM környezetet, amikor UseLogin = igen. Ha a PAM úgy van beállítva, hogy olvassa el a felhasználó által megadott környezeti változókat, és UseLogin = yes az sshd_config-ban, akkor egy ellenséges helyi felhasználó támadhat / bin / login LD_PRELOAD vagy hasonló környezeti változókkal, amelyeket PAM-on keresztül állít be. CVE-2015-8325, amelyet Shayan Sadigh talált.
• Új funkciók:
• ssh (1): Adjon hozzá egy ProxyJump opciót és a megfelelő -J parancssori zászlót, hogy egyszerűsített indirektumot biztosítson egy vagy több SSH bastionon vagy "ugrásvezérlőn".
• ssh (1): Adjon hozzá egy IdentityAgent beállítást, hogy engedélyezhesse az adott ügynök-aljzatok specifikálását, ahelyett, hogy elfogadná az egyiket a környezetből. ssh (1): Az ssh -W használatakor engedélyezze az ExitOnForwardFailure és a ClearAllForwardings opciókat. bz # 2577
• ssh (1), sshd (8): Végezze el az IUTF8 terminál üzemmód támogatását, mint a draft-sgtatham-secsh-iutf8-00. ssh (1), sshd (8): Támogatás hozzáadása további fix Diffie-Hellman 2K, 4K és 8K csoportokhoz a draft-ietf-curdle-ssh-kex-sha2-03 verziótól.
• ssh-keygen (1), ssh (1), sshd (8): támogatja az SHA256 és az SHA512 RSA aláírásait a tanúsítványokban; ssh (1): Adja hozzá a ssh_config (5) fájlokat tartalmazó irányelveket.
• ssh (1): Engedélyezze az UTF-8 karaktereket a kiszolgáló által küldött előhitelesítési bannerekről. bz # 2058
• Bugfixek:
• ssh (1), sshd (8): Csökkentse a viszonylag gyakori protokoll események syslog szintjét a LOG_CRIT-ből. bz # 2585
• sshd (8): Elutasítja a AuthenticationMethods = "" konfigurációkat, és elfogadja a AuthenticationMethods = minden olyan alapértelmezett viselkedést, amely nem igényel több hitelesítést. bz # 2398
• sshd (8): Távolítsa el az elavult és félrevezető "LEHETSÉGES BREAK-IN ATTEMPT!" üzenet, amikor a DNS előre és hátra nem egyeznek. bz # 2585
• ssh (1): Bezárja a ControlPersist háttérfolyamatot stderr, kivéve a debug módot vagy a syslog-ba való bejelentkezést. bz # 1988
• misc: A PROTOCOL leírása a direct-streamlocal@openssh.com csatorna megnyitott üzenetekhez illeszkedik a telepített kód. bz # 2529
• ssh (1): Deduplicate LocalForward és RemoteForward bejegyzéseket a hibák kijavításához, ha mind az ExitOnForwardFailure, mind a hostnév engedélyezése engedélyezett. bz # 2562
• sshd (8): Távolítsa el a modulokat az elavult "primes" fájlból, amely elavult 2001-ben. bz # 2559.
• sshd_config (5): A UseDNS helyes leírása: az ssh gazdagép feldolgozását érinti az authorized_keys, not known_hosts; bz # 2554 ssh (1): Fix hitelesítés egy különálló tanúsítványkulcs használatával az ügynökben, a megfelelő fájlok saját privát kulcsai nélkül. bz # 2550
• sshd (8): Küldje el a ClientAliveInterval pings-t amikor időalapú RekeyLimit van beállítva; a korábban veszteséges csomagokat nem küldték. bz # 2252

Az újdonság a 7.2-es verzióban:

• Biztonság:
• ssh (1), sshd (8): távolítsa el a befejezetlen és a nem használt barangolási kódot (máris erőszakkal letiltották az OpenSSH 7.1p2-ben).
• ssh (1): távolítsa el a megbízhatatlan X11 átirányítást a megbízható továbbításhoz, amikor az X kiszolgáló letiltja a SECURITY kiterjesztést.
• ssh (1), sshd (8): növelje a diffie-hellman-group-exchange-hez támogatott minimális modulusméretet 2048 bitre.
• sshd (8): az authentikát megelőző sandboxolás alapértelmezés szerint engedélyezve van (az előző kiadások engedélyezték az új telepítésekhez sshd_config használatával).
• Új funkciók:
• all: az RSA aláírások támogatása a draft-rsa-dsa-sha2-256-03.txt és draft-ssh-ext-info-04.txt alapján SHA-256/512 hash algoritmusok használatával.
• ssh (1): Adjon hozzá egy AddKeysToAgent kliens opciót, amely 'yes', 'no', 'ask' vagy 'confirm' és 'no' alapértékekre állítható. Ha engedélyezve van, a hitelesítés során használt privát kulcsot az ssh-agenthez kell hozzáadni, ha fut (engedélyezve van a megerősítés, ha megerősítve van).
• sshd (8): Add új "authorized_keys" korlátozás opciót, amely magában foglalja az összes aktuális és jövőbeni kulcskorlátozást (no - * - továbbítás stb.). Adja hozzá a meglévő korlátozások megengedhető verzióit is, pl. "no-pty" - & gt; "PTY". Ez leegyszerűsíti a korlátozott kulcsok beállítását, és biztosítja, hogy azok maximálisan korlátozottak legyenek, függetlenül attól, hogy a jövőben milyen jogosultságokat hajthatunk végre. ssh (1): add hozzá ssh_config CertificateFile opciót a tanúsítványok egyértelmű felsorolásához. bz # 2436
• ssh-keygen (1): engedélyezze az ssh-keygen számára, hogy megváltoztassa a legfontosabb megjegyzést az összes támogatott formátumban.
• ssh-keygen (1): engedélyezze az ujjlenyomatot a szabványos bemenetről, pl. "ssh-keygen -lf -"
• ssh-keygen (1): lehetővé teszi több nyilvános kulcs rögzítését egy fájlban, pl. "ssh-keygen -lf ~ / .ssh / authorized_keys" bz # 1319
• sshd (8): támogatja a "none" argumentumot az sshd_config Foreground és ChrootDirectory számára. Hasznos belső Match blokkok, amelyek felülbírálják a globális alapértelmezést. bz # 2486

ssh-keygen (1): "ssh-keygen -L" ssh-keyscan (1) segítségével több tanúsítványt (egy soronként) és olvasást a standard bemenetről ("-f - keyscan -c ... "zászlót, hogy engedélyeket szerezzen a sima billentyűk helyett.
• ssh (1): jobban kezelje a horgonyzott FQDN-eket (például "cvs.openbsd.org") a gazdanév-kanonizációban - kezelje őket már kanonikusként, és távolítsa el az utolsót "." az ssh_config illesztése előtt.
• Bugfixek:
• sftp (1): a meglévő célkönyvtáraknak nem szabad véget vetni a rekurzív feltöltéseknek (regresszió megnyitása a openssh 6.8-ban) bz # 2528
• ssh (1), sshd (8): helyesen küld vissza SSH2_MSG_UNIMPLEMENTED válaszokat váratlan üzenetekre a kulcscsere során. bz # 2949
• ssh (1): megtagadja a ConnectionAttempts = 0 beállítást, amely nincs értelme, és az ssh egy nem inicializált stack változót nyomtat. bz # 2500
• ssh (1): javítások hiba esetén, amikor a hatósugaras nevek engedélyezése engedélyezett.
• sshd_config (5): felsoroljon néhány további opciót, amelyek a Match blokkokban használhatók. bz # 2489
• sshd (8): fix "PubkeyAcceptedKeyTypes + ..." egy Match blokk belsejében. ssh (1): bővítse a tilde karaktereket a -i opciókban átadott fájlnevekben, mielőtt megvizsgálja, létezik-e az azonosító fájl. Kerüli a zavarodást azokban az esetekben, amikor a shell nem bővül (például "-i ~ / file" és "-i ~ / file"). bz # 2481
• ssh (1): ne másolja be a "exec" parancsot a parancsfájlban lévő "Match exec" parancs futtatásához, ami egyes parancsok esetén bizonyos környezetekben hibát okozhat. bz # 2471
• ssh-keyscan (1): fix kimenet több gazdához / addrhoz egy sorban, amikor a gazda-hasítás vagy egy nem szabványos port használatban van # 2479
• sshd (8): a ChrootDirectory aktív használata esetén hagyja ki a "Nem lehet eljutni a főkönyvtárba" üzenetet. bz # 2485
• ssh (1): tartalmazza a PubkeyAcceptedKeyTypes-t az ssh -G config dumpban. sshd (8): ne változtasd meg az AlagútForwarding eszköz zászlóit, ha már azok is szükségesek; lehetővé teszi a tun / tap hálózat létrehozását nem root felhasználóként, ha az eszközillesztések és az interfészlinkek már elő vannak állítva
• ssh (1), sshd (8): A RekeyLimits-et egy csomagban lehet túllépni. bz # 2521
• ssh (1): a multiplexelés törlésének hibája az ügyfél kilépésének észrevétele.
• ssh (1), ssh-agent (1): elkerülje a halálos kimeneteleket () a PKCS11 tokenekhez, amelyek üres kulcsadatokat tartalmaznak. bz # 1773
• sshd (8): kerülje a NULL argumentum printf értékét. bz # 2535
• ssh (1), sshd (8): a RekeyLimits nagyobb, mint 4 GB. bz # 2521
• ssh-keygen (1): sshd (8): több hiba kijavítása a (nem használt) KRL aláírási támogatásban.
• ssh (1), sshd (8): kapcsolja ki a kapcsolatot olyan partnerekkel, akik a protokoll kulcscsere-találgatását használják. bz # 2515
• sshd (8): tartalmazza a távoli portszámot a naplóüzenetekben. bz # 2503
• ssh (1): ne próbálja meg betölteni az SSHv1 privát kulcsot SSHv1 támogatás nélkül fordítva. bz # 2505
• ssh-agent (1), ssh (1): helytelen hibaüzenetek rögzítése a betöltési és aláírási hibák során. bz # 2507
• ssh-keygen (1): ne hagyj üres ideiglenes fájlokat a known_hosts file-szerkesztések végrehajtásakor, ha a known_hosts nem létezik.
• sshd (8): helyes csomagkliens formátum a tcpip-forward válaszokhoz olyan kérések esetén, amelyek nem osztanak ki portot bz # 2509
• ssh (1), sshd (8): zárolt zárolás lehetséges rögzítése. bz # 2469 ssh (1): bővítse a% i-t a ControlPath-ban az UID-be. bz # 2449
• ssh (1), sshd (8): a openssh_RSA_verify javítás visszatérítési típusa. bz # 2460
• ssh (1), sshd (8): javítsa ki a memória szivárgásainak elemzését. bz # 2182
• ssh (1): adj hozzá egy hibakeresési kimenetet a DNS felbontás előtt; ez egy olyan hely, ahol az ssh korábban hallgathatatlanul megállt a nem válaszoló DNS-kiszolgálók esetén. bz # 2433 ssh (1): távolítsa el a hamis újvonalat a vizuális host kulcsban. bz # 2686
• ssh (1): a HostKeyAlgorithms fix nyomtatása (ssh -G ...) = + ...
• ssh (1): a HostkeyAlgorithms fix kiterjesztése = + ...
• Dokumentáció:
• ssh_config (5), sshd_config (5): az alapértelmezett algoritmuslisták frissítése az aktuális valóságnak megfelelően. bz # 2527
• ssh (1): megjegyzés -Q kulcsfontosságú és -Q kulcs-cert lekérdezési lehetőségek. bz # 2455
• sshd_config (8): részletesebben írja le, amit a AuthorizedKeysFile = nincs.
• ssh_config (5): jobb dokumentum ExitOnForwardFailure. bz # 2444
• sshd (5): a DH-GEX belső visszaeső csoportjait a kézikönyvben említi. bz # 2302
• sshd_config (5): jobb leírás a MaxSessions opcióhoz. bz # 2531
• hordozhatóság:
• ssh (1), sftp-server (8), ssh-agent (1), sshd (8): Illumos / Solaris finomszemcsés jogosultságok támogatása. Beleértve a pre-auth privsep sandboxot és több pledge () emulációt. bz # 2511
• A redhat / openssh.spec felújítása, az elavult opciók és a szintaxis eltávolítása.
• configure: engedélyezze a --without-ssl -motort a --without-openssl
paranccsal
• sshd (8): fix többszörös hitelesítés S / Key használatával. bz # 2502
• sshd (8): olvasd vissza a libcrypto RAND_preferencia előtti jogosultságokból. Kerülje a Sandboxing megsértését a BoringSSL használatával.
• Rögzítse a név ütközését a rendszer által biztosított glob (3) függvényekkel. bz # 2463
• Adapt Makefile az ssh-keygen -A használatához a gazda kulcsok létrehozásakor. bz # 2459
• configure: a --with-ssh1 bz # 2457
alapértelmezett értékének javítása
• konfigurálás: a _res szimbólum jobb észlelése bz # 2259
• támogatja a getrandom () syscall Linux-ot