البرمجيات قطة:
تفاصيل البرنامج:
برنامج OpenSSH هو مشروع برمجيات المصدر المفتوح والموزع بحرية ، ومكتبة وبرنامج سطر أوامر يعمل في خلفية نظام التشغيل جنو / لينكس الخاص بك ويحمي شبكتك بالكامل من المتسللين والمهاجمين. إنه الإصدار المفتوح المصدر لمواصفات SSH (Secure Shell) ، المصمم خصيصًا لـ
الميزات في لمحة
OpenSSH هو مشروع مفتوح المصدر موزع بموجب ترخيص مجاني. وهي تقدم مصادقة قوية تعتمد على المعايير العامة ، ومصادقة Kerberos ومعايير كلمة المرور لمرة واحدة ، والتشفير القوي القائم على خوارزميات AES ، و Blowfish ، و Arcfour ، و 3DES ، و X11 من خلال تشفير حركة X Window System بالكامل ، بالإضافة إلى AFS و بطاقة Kerberos تمر.
بالإضافة إلى ذلك ، تدعم ميزة إعادة توجيه منفذ ميزة البرامج من خلال تشفير القنوات للبروتوكولات القديمة ودعم دعم البيانات ودعم إعادة توجيه الوكيل باستخدام معيار مصادقة الدخول الموحد (SSO) وخادم SFTP (بروتوكول نقل الملفات الآمن) ودعم العميل في أي منهما بروتوكولات SSH2 أو SSH1.
ميزة أخرى مثيرة للاهتمام هي قابلية التشغيل البيني ، مما يعني أن المشروع يتوافق مع الإصدارات 1.3 و 1.5 و 2.0 من بروتوكول SSH (Secure Shell) الأصلي. بعد التثبيت ، سيقوم OpenSSH تلقائيًا باستبدال برامج FTP و Telnet و RCP و rlogin القياسية بإصدارات آمنة منها ، مثل SFTP و SCP و SSH.
تحت غطاء المحرك والتوافر وأنظمة التشغيل المدعومة
مشروع OpenSSH مكتوب بالكامل بلغة برمجة C. وهي تتألف من تطبيق SSH الرئيسي و SSH daemon ، الذي يعمل في الخلفية. يتم توزيع البرنامج بشكل أساسي كأرشيف مصدر عالمي ، والذي سيعمل مع أي أنظمة تشغيل جنو / لينكس على معماريين 32 بت و 64 بت.
OpenSSH المحمولة
يتوفر أيضًا إصدار محمول من بروتوكول OpenSSH للتنزيل على Softoware ، مجانًا ، يسمى Portable OpenSSH. إنه تطبيق مفتوح المصدر لبروتوكولات SSH الإصدار 1 و SSH الإصدار 2 لأنظمة التشغيل Linux و BSD و Solaris.
ما هو الجديد في هذا الإصدار:
التغييرات المحتملة غير المتوافقة:
يتضمن هذا الإصدار عددًا من التغييرات التي قد تؤثر على عمليات التهيئة الحالية:
يزيل هذا الإصدار دعم الخادم لبروتوكول SSH v.1.
ssh (1): إزالة 3des-cbc من الاقتراح الافتراضي للعميل. إن الأصفار كتلة 64 بت ليست آمنة في عام 2016 ونحن لا نريد الانتظار حتى يتم توسيع هجمات مثل SWEET32 إلى SSH. نظرًا لأن 3des-cbc كان الشفرة الإلزامية الوحيدة في طلبات RFC SSH ، فقد يتسبب ذلك في حدوث مشكلات في الاتصال بالأجهزة القديمة باستخدام التكوين الافتراضي ، ولكن من المحتمل جدًا أن هذه الأجهزة تحتاج بالفعل إلى تكوين صريح لخوارزميات تبادل المفاتيح والخوادم الرئيسية على أي حال. sshd (8): إزالة دعم ضغط pre-authentication. يبدو أن القيام بالضغط في وقت مبكر من البروتوكول كان معقولاً في التسعينيات ، ولكن من الواضح اليوم أنه فكرة سيئة من حيث التشفير (راجع هجمات أوراكل متعددة للضغط في TLS) وسطح الهجوم. تم تعطيل دعم ضغط ما قبل المصادقة افتراضيًا لمدة & gt؛ 10 سنوات. يبقى الدعم في العميل. سيرفض ssh-agent تحميل PKCS # 11 وحدات خارج القائمة البيضاء للمسارات الموثوقة بشكل افتراضي. قد يتم تحديد القائمة البيضاء للمسار في وقت التشغيل.
التغييرات منذ OpenSSH 7.3:
الأمان:
ssh-agent (1): سيرفض الآن تحميل PKCS # 11 وحدات من مسارات خارج قائمة بيضاء موثوق بها (وقت التشغيل قابل للتكوين). يمكن تمرير طلبات تحميل الوحدات النمطية من خلال إعادة توجيه الوكيل ، وقد يحاول أحد المهاجمين تحميل وحدة PKCS # 11 معادية عبر قناة الموجه المعاد توجيهها: وحدات PKCS # 11 هي مكتبات مشتركة ، لذلك قد ينتج عن ذلك تنفيذ الكود على النظام الذي يشغل ssh - إذا كان للمهاجم سيطرة على مقبس الوكيل المعاد توجيهه (على المضيف الذي يقوم بتشغيل خادم sshd) والقدرة على الكتابة إلى نظام الملفات الخاص بالمضيف الذي يعمل بنظام ssh-agent (عادة ما يكون المضيف الذي يقوم بتشغيل عميل ssh). ذكرت من قبل جن هورن من مشروع صفر.sshd (8): عند تعطيل فصل الامتياز ، سيتم إنشاء مآخذ Unix-domain التي تم إنشاؤها بواسطة sshd (8) مع امتيازات "الجذر" بدلاً من المستخدم المصادق عليه. يرفض هذا الإصدار إعادة توجيه مأخذ توصيل Unix-domain عند تعطيل فصل الامتياز (تم تمكين فصل الامتياز بشكل افتراضي لمدة 14 عامًا). ذكرت من قبل جن هورن من مشروع صفر.
sshd (8): تجنب تسرب نظري لمواد المفتاح الخاص للمضيف إلى عمليات فرعية مفصولة بامتيازات عبر realloc () عند قراءة المفاتيح. لم يلاحظ أي تسرب من هذا القبيل في الواقع للمفاتيح ذات الأحجام العادية ، كما أن التسرب لعمليات الطفل لا يعرض المواد الرئيسية للمستخدمين المجهولين بشكل مباشر. ذكرت من قبل جن هورن من مشروع صفر.sshd (8): إدارة الذاكرة المشتركة المستخدمة من قبل دعم ضغط pre-authentication التحقق من الحدود التي يمكن elided بواسطة بعض compilers التحسين. بالإضافة إلى ذلك ، تم الوصول إلى مدير الذاكرة هذا بشكل غير صحيح عند تعطيل ضغط المصادقة المسبقة. يمكن أن يسمح ذلك بحدوث هجمات ضد عملية المراقبة المميزة من عملية فصل الامتيازات التي تمت صياغتها (هناك حاجة إلى حل وسط من هذا الأخير). هذا الإصدار يزيل الدعم لضغط ما قبل المصادقة من sshd (8). تم الإبلاغ عنها بواسطة Guido Vranken باستخدام أداة تعريف تحسين أمثلية Stack غير المستقرة (http://css.csail.mit.edu/stack/)
sshd (8): إصلاح حالة رفض الخدمة حيث قد يستهلك المهاجم الذي يرسل رسائل KEXINIT متعددة حتى 128 ميجابايت لكل اتصال. أبلغ من قبل شي لي من فريق جير ، Qihoo 360.
sshd (8): التحقق من صحة نطاقات العناوين لتوجيهات AllowUser و DenyUsers عند وقت تحميل التكوين ورفض قبول تلك غير الصالحة. كان من الممكن في وقت سابق تحديد نطاقات عناوين CIDR غير صالحة (على سبيل المثال user@127.1.2.3/55) وتطابقها دائمًا ، ومن المحتمل أن يؤدي ذلك إلى منح الوصول حيث لم يكن المقصود. رواه لورانس باري.
ميزات جديدة:ssh (1): أضف صيغة بروكسي بروكسي إلى ssh (1) مستوحاة من النسخة في PuTTY بواسطة Simon Tatham. يسمح ذلك لعميل من مضاعفات الإرسال بالتواصل مع العملية الرئيسية باستخدام مجموعة فرعية من حزمة بروتوكول SSH والقنوات عبر مقبس Unix-domain ، حيث تعمل العملية الرئيسية كوكيل يعمل على ترجمة معرفات القنوات وما إلى ذلك. يسمح ذلك بتشغيل وضع تعدد الإرسال الأنظمة التي تفتقر إلى تمرير واصف الملف (يتم استخدامها بواسطة تعدد الإرسال الحالي) ومن المحتمل ، بالاقتران مع توجيه مأخذ توصيل Unix-domain ، مع العميل والعملية الرئيسية متعددة الإرسال على أجهزة مختلفة. قد يتم استدعاء وضع بروكسي ملتيميلكشن باستخدام & quot؛ ssh -O proxy ... & quot؛
sshd (8): إضافة sshd_config خيار DisableForwarding الذي يعطل X11 و agent و TCP و tunnel و Unix domain socket forwarding ، بالإضافة إلى أي شيء آخر قد ننفذه في المستقبل. مثل علامة "تقييد" authorized_keys ، يقصد به أن يكون طريقة بسيطة ومستقلة لتقييد الحساب.
sshd (8)، ssh (1): Support the & quot؛ curve25519-sha256 & quot؛ طريقة تبادل المفتاح. هذا مطابق للطريقة المدعومة حاليًا المسماة & quot؛ curve25519-sha256@libssh.org " ؛.sshd (8): تحسين التعامل مع SIGHUP من خلال التحقق لمعرفة ما إذا كان sshd مبدئياً عند بدء التشغيل وتجاهل المكالمة إلى البرنامج الخفي (3) إذا كان كذلك. هذا يضمن أن إعادة تشغيل SIGHUP لـ sshd (8) سيحتفظ بنفس معرّف العملية مثل التنفيذ الأولي. كما سيقوم sshd (8) أيضًا بإلغاء ربط PidFile قبل إعادة تشغيل SIGHUP وإعادة إنشائه بعد إعادة التشغيل بنجاح ، بدلاً من ترك ملف قديم في حالة حدوث خطأ في التكوين. بيسة # 2641
sshd (8): السماح لتوجيهات ClientAliveInterval و ClientAliveCountMax بالظهور في كتل مطابقة sshd_config.
sshd (8): إضافة٪ -escapes إلى AuthorizedPrincipalsCommand لمطابقة تلك المعتمدة بواسطة AuthorizedKeysCommand (مفتاح ونوع المفتاح وبصمة الإصبع ، وما إلى ذلك) وغير ذلك المزيد لتوفير الوصول إلى محتويات الشهادة التي يتم تقديمها.
اختبارات الانحدار المضافة لمطابقة السلاسل ومطابقة العنوان وسلسلة عمليات التعقيم.
تحسين تسخير مفتاح fuzzer الصرف.
اصلاحات الشوائب:
ssh (1): السماح للهوية IdentityFile بتحميل واستخدام الشهادات التي ليس لها مفتاح عمومي مناظر. bz # 2617 شهادة id_rsa-cert.pub (ولا id_rsa.pub).ssh (1): إصلاح مصادقة المفتاح العام عند استخدام مصادقة متعددة و publickey ليس فقط حاول الأسلوب الأول. بيسة # 2642
التراجع: السماح لاختبارات التشغيل المتداخل PuTTY لتشغيل غير المراقب. بيسة # 2639
ssh-agent (1)، ssh (1): تحسين إعداد التقارير عند محاولة تحميل المفاتيح من الرموز المميزة لـ PKC # 11 مع عدد أقل من رسائل السجل غير المفيدة والمزيد من التفاصيل في رسائل التصحيح. بيسة # 2610
ssh (1): عند تمزيق اتصالات ControlMaster ، لا تلوث stderr عندما يكون LogLevel = quiet.
sftp (1): On ^ Z انتظر ssh الأساسي (1) للتعليق قبل تعليق sftp (1) للتأكد من أن ssh (1) يستعيد وضع المحطة بشكل صحيح إذا تم تعليقه أثناء مطالبة كلمة المرور.
ssh (1): تجنب الانتظار مشغول عندما يتم تعليق ssh (1) أثناء مطالبة كلمة المرور.
ssh (1) ، sshd (8): تقرير أخطاء بشكل صحيح أثناء إرسال رسائل ext-info.
sshd (8): إصلاح تعطل NULL-deref إذا تلقي sshd (8) رسالة NEWKEYS خارج التسلسل.
sshd (8): تصحيح قائمة خوارزميات التوقيع المدعومة في ملحق server-sig-algs. بيسة # 2547
sshd (8): إصلاح إرسال رسالة ext_info إذا تم تعطيل privsep.sshd (8): تنفيذ أكثر صرامة للطلب المتوقع لمكالمات مراقبة فصل الامتياز المستخدمة للتوثيق والسماح لها فقط عند تمكين أساليب المصادقة الخاصة بها في التكوين
sshd (8): إصلاح optlen غير مهيأ في استدعاء getsockopt ()؛ غير ضارة على يونكس / BSD لكن يحتمل أن تتحطم على Cygwin.
أصلح التقارير الإيجابية الخاطئة التي تسببها صراحة (3) لا يتم التعرف عليها كمبتدئ للذاكرة عند تجميعها مع -fsanitize-memory. sshd_config (5): استخدم 2001: db8 :: / 32 ، الشبكة الفرعية IPv6 الرسمية لأمثلة التكوين.
قابلية التنقل:
في البيئات التي تمت تهيئتها بالمواقع التركية ، ترجع إلى لغة C / POSIX لتجنب الأخطاء في تحليل التهيئة الناتج عن معالجة اللغة الفريدة للحروف 'i' و 'I'. بيسة # 2643
sftp-server (8)، ssh-agent (1): Deny ptrace on OS X using ptrace (PT_DENY_ATTACH، ..)
ssh (1)، sshd (8): Unbreak AES-CTR ciphers on old (~ 0.9.8) OpenSSL.
إصلاح تجميع ل libcrypto التي تم تجميعها بدون دعم RIPEMD160.
المساهمة: أضف gnome-ssh-askpass3 مع دعم GTK + 3. bz # 2640 sshd (8): تحسين resnging PRNG عبر فصل الامتياز وإجبار libcrypto للحصول على بذور عالية الجودة قبل chroot أو sandboxing.
الكل: اختبار صريح ل strnvis مكسورة. أضاف NetBSD برنامج strnvis ولسوء الحظ جعله غير متوافق مع الموجودة في OpenBSD و libbsd في Linux (حيث كان موجودًا منذ أكثر من عشر سنوات). حاول اكتشاف هذه الفوضى ، وافترض الخيار الآمن الوحيد إذا كنا نجمع الصور.
ما هو الجديد في الإصدار:
التغييرات المحتملة غير المتوافقة:
يتضمن هذا الإصدار عددًا من التغييرات التي قد تؤثر على عمليات التهيئة الحالية:
يزيل هذا الإصدار دعم الخادم لبروتوكول SSH v.1.
ssh (1): إزالة 3des-cbc من الاقتراح الافتراضي للعميل. إن الأصفار كتلة 64 بت ليست آمنة في عام 2016 ونحن لا نريد الانتظار حتى يتم توسيع هجمات مثل SWEET32 إلى SSH. نظرًا لأن 3des-cbc كان الشفرة الإلزامية الوحيدة في طلبات RFC SSH ، فقد يتسبب ذلك في حدوث مشكلات في الاتصال بالأجهزة القديمة باستخدام التكوين الافتراضي ، ولكن من المحتمل جدًا أن هذه الأجهزة تحتاج بالفعل إلى تكوين صريح لخوارزميات تبادل المفاتيح والخوادم الرئيسية على أي حال. sshd (8): إزالة دعم ضغط pre-authentication. يبدو أن القيام بالضغط في وقت مبكر من البروتوكول كان معقولاً في التسعينيات ، ولكن من الواضح اليوم أنه فكرة سيئة من حيث التشفير (راجع هجمات أوراكل متعددة للضغط في TLS) وسطح الهجوم. تم تعطيل دعم ضغط ما قبل المصادقة افتراضيًا لمدة & gt؛ 10 سنوات. يبقى الدعم في العميل. سيرفض ssh-agent تحميل PKCS # 11 وحدات خارج القائمة البيضاء للمسارات الموثوقة بشكل افتراضي. قد يتم تحديد القائمة البيضاء للمسار في وقت التشغيل.
التغييرات منذ OpenSSH 7.3:
الأمان:
ssh-agent (1): سيرفض الآن تحميل PKCS # 11 وحدات من مسارات خارج قائمة بيضاء موثوق بها (وقت التشغيل قابل للتكوين). يمكن تمرير طلبات تحميل الوحدات النمطية من خلال إعادة توجيه الوكيل ، وقد يحاول أحد المهاجمين تحميل وحدة PKCS # 11 معادية عبر قناة الموجه المعاد توجيهها: وحدات PKCS # 11 هي مكتبات مشتركة ، لذلك قد ينتج عن ذلك تنفيذ الكود على النظام الذي يشغل ssh - إذا كان للمهاجم سيطرة على مقبس الوكيل المعاد توجيهه (على المضيف الذي يقوم بتشغيل خادم sshd) والقدرة على الكتابة إلى نظام الملفات الخاص بالمضيف الذي يعمل بنظام ssh-agent (عادة ما يكون المضيف الذي يقوم بتشغيل عميل ssh). ذكرت من قبل جن هورن من مشروع صفر.sshd (8): عند تعطيل فصل الامتياز ، سيتم إنشاء مآخذ Unix-domain التي تم إنشاؤها بواسطة sshd (8) مع امتيازات "الجذر" بدلاً من المستخدم المصادق عليه. يرفض هذا الإصدار إعادة توجيه مأخذ توصيل Unix-domain عند تعطيل فصل الامتياز (تم تمكين فصل الامتياز بشكل افتراضي لمدة 14 عامًا). ذكرت من قبل جن هورن من مشروع صفر.
sshd (8): تجنب تسرب نظري لمواد المفتاح الخاص للمضيف إلى عمليات فرعية مفصولة بامتيازات عبر realloc () عند قراءة المفاتيح. لم يلاحظ أي تسرب من هذا القبيل في الواقع للمفاتيح ذات الأحجام العادية ، كما أن التسرب لعمليات الطفل لا يعرض المواد الرئيسية للمستخدمين المجهولين بشكل مباشر. ذكرت من قبل جن هورن من مشروع صفر.sshd (8): إدارة الذاكرة المشتركة المستخدمة من قبل دعم ضغط pre-authentication التحقق من الحدود التي يمكن elided بواسطة بعض compilers التحسين. بالإضافة إلى ذلك ، تم الوصول إلى مدير الذاكرة هذا بشكل غير صحيح عند تعطيل ضغط المصادقة المسبقة. يمكن أن يسمح ذلك بحدوث هجمات ضد عملية المراقبة المميزة من عملية فصل الامتيازات التي تمت صياغتها (هناك حاجة إلى حل وسط من هذا الأخير). هذا الإصدار يزيل الدعم لضغط ما قبل المصادقة من sshd (8). تم الإبلاغ عنها بواسطة Guido Vranken باستخدام أداة تعريف تحسين أمثلية Stack غير المستقرة (http://css.csail.mit.edu/stack/)
sshd (8): إصلاح حالة رفض الخدمة حيث قد يستهلك المهاجم الذي يرسل رسائل KEXINIT متعددة حتى 128 ميجابايت لكل اتصال. أبلغ من قبل شي لي من فريق جير ، Qihoo 360.
sshd (8): التحقق من صحة نطاقات العناوين لتوجيهات AllowUser و DenyUsers عند وقت تحميل التكوين ورفض قبول تلك غير الصالحة. كان من الممكن في وقت سابق تحديد نطاقات عناوين CIDR غير صالحة (على سبيل المثال user@127.1.2.3/55) وتطابقها دائمًا ، ومن المحتمل أن يؤدي ذلك إلى منح الوصول حيث لم يكن المقصود. رواه لورانس باري.
ميزات جديدة:ssh (1): أضف صيغة بروكسي بروكسي إلى ssh (1) مستوحاة من النسخة في PuTTY بواسطة Simon Tatham. يسمح ذلك لعميل من مضاعفات الإرسال بالتواصل مع العملية الرئيسية باستخدام مجموعة فرعية من حزمة بروتوكول SSH والقنوات عبر مقبس Unix-domain ، حيث تعمل العملية الرئيسية كوكيل يعمل على ترجمة معرفات القنوات وما إلى ذلك. يسمح ذلك بتشغيل وضع تعدد الإرسال الأنظمة التي تفتقر إلى تمرير واصف الملف (يتم استخدامها بواسطة تعدد الإرسال الحالي) ومن المحتمل ، بالاقتران مع توجيه مأخذ توصيل Unix-domain ، مع العميل والعملية الرئيسية متعددة الإرسال على أجهزة مختلفة. قد يتم استدعاء وضع بروكسي ملتيميلكشن باستخدام & quot؛ ssh -O proxy ... & quot؛
sshd (8): إضافة sshd_config خيار DisableForwarding الذي يعطل X11 و agent و TCP و tunnel و Unix domain socket forwarding ، بالإضافة إلى أي شيء آخر قد ننفذه في المستقبل. مثل علامة "تقييد" authorized_keys ، يقصد به أن يكون طريقة بسيطة ومستقلة لتقييد الحساب.
sshd (8)، ssh (1): Support the & quot؛ curve25519-sha256 & quot؛ طريقة تبادل المفتاح. هذا مطابق للطريقة المدعومة حاليًا المسماة & quot؛ curve25519-sha256@libssh.org " ؛.sshd (8): تحسين التعامل مع SIGHUP من خلال التحقق لمعرفة ما إذا كان sshd مبدئياً عند بدء التشغيل وتجاهل المكالمة إلى البرنامج الخفي (3) إذا كان كذلك. هذا يضمن أن إعادة تشغيل SIGHUP لـ sshd (8) سيحتفظ بنفس معرّف العملية مثل التنفيذ الأولي. كما سيقوم sshd (8) أيضًا بإلغاء ربط PidFile قبل إعادة تشغيل SIGHUP وإعادة إنشائه بعد إعادة التشغيل بنجاح ، بدلاً من ترك ملف قديم في حالة حدوث خطأ في التكوين. بيسة # 2641
sshd (8): السماح لتوجيهات ClientAliveInterval و ClientAliveCountMax بالظهور في كتل مطابقة sshd_config.
sshd (8): إضافة٪ -escapes إلى AuthorizedPrincipalsCommand لمطابقة تلك المعتمدة بواسطة AuthorizedKeysCommand (مفتاح ونوع المفتاح وبصمة الإصبع ، وما إلى ذلك) وغير ذلك المزيد لتوفير الوصول إلى محتويات الشهادة التي يتم تقديمها.
اختبارات الانحدار المضافة لمطابقة السلاسل ومطابقة العنوان وسلسلة عمليات التعقيم.
تحسين تسخير مفتاح fuzzer الصرف.
اصلاحات الشوائب:
ssh (1): السماح للهوية IdentityFile بتحميل واستخدام الشهادات التي ليس لها مفتاح عمومي مناظر. bz # 2617 شهادة id_rsa-cert.pub (ولا id_rsa.pub).ssh (1): إصلاح مصادقة المفتاح العام عند استخدام مصادقة متعددة و publickey ليس فقط حاول الأسلوب الأول. بيسة # 2642
التراجع: السماح لاختبارات التشغيل المتداخل PuTTY لتشغيل غير المراقب. بيسة # 2639
ssh-agent (1)، ssh (1): تحسين إعداد التقارير عند محاولة تحميل المفاتيح من الرموز المميزة لـ PKC # 11 مع عدد أقل من رسائل السجل غير المفيدة والمزيد من التفاصيل في رسائل التصحيح. بيسة # 2610
ssh (1): عند تمزيق اتصالات ControlMaster ، لا تلوث stderr عندما يكون LogLevel = quiet.
sftp (1): On ^ Z انتظر ssh الأساسي (1) للتعليق قبل تعليق sftp (1) للتأكد من أن ssh (1) يستعيد وضع المحطة بشكل صحيح إذا تم تعليقه أثناء مطالبة كلمة المرور.
ssh (1): تجنب الانتظار مشغول عندما يتم تعليق ssh (1) أثناء مطالبة كلمة المرور.
ssh (1) ، sshd (8): تقرير أخطاء بشكل صحيح أثناء إرسال رسائل ext-info.
sshd (8): إصلاح تعطل NULL-deref إذا تلقي sshd (8) رسالة NEWKEYS خارج التسلسل.
sshd (8): تصحيح قائمة خوارزميات التوقيع المدعومة في ملحق server-sig-algs. بيسة # 2547
sshd (8): إصلاح إرسال رسالة ext_info إذا تم تعطيل privsep.sshd (8): تنفيذ أكثر صرامة للطلب المتوقع لمكالمات مراقبة فصل الامتياز المستخدمة للتوثيق والسماح لها فقط عند تمكين أساليب المصادقة الخاصة بها في التكوين
sshd (8): إصلاح optlen غير مهيأ في استدعاء getsockopt ()؛ غير ضارة على يونكس / BSD لكن يحتمل أن تتحطم على Cygwin.
أصلح التقارير الإيجابية الخاطئة التي تسببها صراحة (3) لا يتم التعرف عليها كمبتدئ للذاكرة عند تجميعها مع -fsanitize-memory. sshd_config (5): استخدم 2001: db8 :: / 32 ، الشبكة الفرعية IPv6 الرسمية لأمثلة التكوين.
قابلية التنقل:
في البيئات التي تمت تهيئتها بالمواقع التركية ، ترجع إلى لغة C / POSIX لتجنب الأخطاء في تحليل التهيئة الناتج عن معالجة اللغة الفريدة للحروف 'i' و 'I'. بيسة # 2643
sftp-server (8)، ssh-agent (1): Deny ptrace on OS X using ptrace (PT_DENY_ATTACH، ..)
ssh (1)، sshd (8): Unbreak AES-CTR ciphers on old (~ 0.9.8) OpenSSL.
إصلاح تجميع ل libcrypto التي تم تجميعها بدون دعم RIPEMD160.
المساهمة: أضف gnome-ssh-askpass3 مع دعم GTK + 3. bz # 2640 sshd (8): تحسين resnging PRNG عبر فصل الامتياز وإجبار libcrypto للحصول على بذور عالية الجودة قبل chroot أو sandboxing.
الكل: اختبار صريح ل strnvis مكسورة. أضاف NetBSD برنامج strnvis ولسوء الحظ جعله غير متوافق مع الموجودة في OpenBSD و libbsd في Linux (حيث كان موجودًا منذ أكثر من عشر سنوات). حاول اكتشاف هذه الفوضى ، وافترض الخيار الآمن الوحيد إذا كنا نجمع الصور.
ما هو الجديد في الإصدار 7.4:
تغييرات غير متوافقة:يتضمن هذا الإصدار عددًا من التغييرات التي قد تؤثر على عمليات التهيئة الحالية:
يزيل هذا الإصدار دعم الخادم لبروتوكول SSH v.1.
ssh (1): إزالة 3des-cbc من الاقتراح الافتراضي للعميل. إن الأصفار كتلة 64 بت ليست آمنة في عام 2016 ونحن لا نريد الانتظار حتى يتم توسيع هجمات مثل SWEET32 إلى SSH. نظرًا لأن 3des-cbc كان الشفرة الإلزامية الوحيدة في طلبات RFC SSH ، فقد يتسبب ذلك في حدوث مشكلات في الاتصال بالأجهزة القديمة باستخدام التكوين الافتراضي ، ولكن من المحتمل جدًا أن هذه الأجهزة تحتاج بالفعل إلى تكوين صريح لخوارزميات تبادل المفاتيح والخوادم الرئيسية على أي حال. sshd (8): إزالة دعم ضغط pre-authentication. يبدو أن القيام بالضغط في وقت مبكر من البروتوكول كان معقولاً في التسعينيات ، ولكن من الواضح اليوم أنه فكرة سيئة من حيث التشفير (راجع هجمات أوراكل متعددة للضغط في TLS) وسطح الهجوم. تم تعطيل دعم ضغط ما قبل المصادقة افتراضيًا لمدة & gt؛ 10 سنوات. يبقى الدعم في العميل. سيرفض ssh-agent تحميل PKCS # 11 وحدات خارج القائمة البيضاء للمسارات الموثوقة بشكل افتراضي. قد يتم تحديد القائمة البيضاء للمسار في وقت التشغيل.sshd (8): عندما يظهر أمر القسري في كل من الشهادة وأمر المفاتيح / الأوامر المبدئية المعتمد = تقييد ، فإن sshd يرفض الآن قبول الشهادة ما لم تكن متطابقة. قد يكون السلوك السابق (الموثق) لوجود الشهادة بالقوة الإجبارية للتغلب على الأخرى مربكًا بعض الشيء وعرضة للخطأ. sshd (8): قم بإزالة توجيه تكوين UseLogin ودعم تسجيل الدخول / bin / login.
التغييرات منذ OpenSSH 7.3:
الأمان:
ssh-agent (1): سيرفض الآن تحميل PKCS # 11 وحدات من مسارات خارج قائمة بيضاء موثوق بها (وقت التشغيل قابل للتكوين). يمكن تمرير طلبات تحميل الوحدات النمطية من خلال إعادة توجيه الوكيل ، وقد يحاول أحد المهاجمين تحميل وحدة PKCS # 11 معادية عبر قناة الموجه المعاد توجيهها: وحدات PKCS # 11 هي مكتبات مشتركة ، لذلك قد ينتج عن ذلك تنفيذ الكود على النظام الذي يشغل ssh - إذا كان للمهاجم سيطرة على مقبس الوكيل المعاد توجيهه (على المضيف الذي يقوم بتشغيل خادم sshd) والقدرة على الكتابة إلى نظام الملفات الخاص بالمضيف الذي يعمل بنظام ssh-agent (عادة ما يكون المضيف الذي يقوم بتشغيل عميل ssh). ذكرت من قبل جن هورن من مشروع صفر.sshd (8): عند تعطيل فصل الامتياز ، سيتم إنشاء مآخذ Unix-domain التي تم إنشاؤها بواسطة sshd (8) مع امتيازات "الجذر" بدلاً من المستخدم المصادق عليه. يرفض هذا الإصدار إعادة توجيه مأخذ توصيل Unix-domain عند تعطيل فصل الامتياز (تم تمكين فصل الامتياز بشكل افتراضي لمدة 14 عامًا). ذكرت من قبل جن هورن من مشروع صفر.
sshd (8): تجنب تسرب نظري لمواد المفتاح الخاص للمضيف إلى عمليات فرعية مفصولة بامتيازات عبر realloc () عند قراءة المفاتيح. لم يلاحظ أي تسرب من هذا القبيل في الواقع للمفاتيح ذات الأحجام العادية ، كما أن التسرب لعمليات الطفل لا يعرض المواد الرئيسية للمستخدمين المجهولين بشكل مباشر. ذكرت من قبل جن هورن من مشروع صفر.sshd (8): إدارة الذاكرة المشتركة المستخدمة من قبل دعم ضغط pre-authentication التحقق من الحدود التي يمكن elided بواسطة بعض compilers التحسين. بالإضافة إلى ذلك ، تم الوصول إلى مدير الذاكرة هذا بشكل غير صحيح عند تعطيل ضغط المصادقة المسبقة. يمكن أن يسمح ذلك بحدوث هجمات ضد عملية المراقبة المميزة من عملية فصل الامتيازات التي تمت صياغتها (هناك حاجة إلى حل وسط من هذا الأخير). هذا الإصدار يزيل الدعم لضغط ما قبل المصادقة من sshd (8). تم الإبلاغ عنها بواسطة Guido Vranken باستخدام أداة تعريف تحسين أمثلية Stack غير المستقرة (http://css.csail.mit.edu/stack/)
sshd (8): إصلاح حالة رفض الخدمة حيث قد يستهلك المهاجم الذي يرسل رسائل KEXINIT متعددة حتى 128 ميجابايت لكل اتصال. أبلغ من قبل شي لي من فريق جير ، Qihoo 360.
sshd (8): التحقق من صحة نطاقات العناوين لتوجيهات AllowUser و DenyUsers عند وقت تحميل التكوين ورفض قبول تلك غير الصالحة. كان من الممكن في وقت سابق تحديد نطاقات عناوين CIDR غير صالحة (على سبيل المثال user@127.1.2.3/55) وتطابقها دائمًا ، ومن المحتمل أن يؤدي ذلك إلى منح الوصول حيث لم يكن المقصود. رواه لورانس باري.
ميزات جديدة:ssh (1): أضف صيغة بروكسي بروكسي إلى ssh (1) مستوحاة من النسخة في PuTTY بواسطة Simon Tatham. يسمح ذلك لعميل من مضاعفات الإرسال بالتواصل مع العملية الرئيسية باستخدام مجموعة فرعية من حزمة بروتوكول SSH والقنوات عبر مقبس Unix-domain ، حيث تعمل العملية الرئيسية كوكيل يعمل على ترجمة معرفات القنوات وما إلى ذلك. يسمح ذلك بتشغيل وضع تعدد الإرسال الأنظمة التي تفتقر إلى تمرير واصف الملف (يتم استخدامها بواسطة تعدد الإرسال الحالي) ومن المحتمل ، بالاقتران مع توجيه مأخذ توصيل Unix-domain ، مع العميل والعملية الرئيسية متعددة الإرسال على أجهزة مختلفة. قد يتم استدعاء وضع بروكسيتيكال بروكسيشن باستخدام "ssh -O proxy ..."
sshd (8): إضافة sshd_config خيار DisableForwarding الذي يعطل X11 و agent و TCP و tunnel و Unix domain socket forwarding ، بالإضافة إلى أي شيء آخر قد ننفذه في المستقبل. مثل علامة "تقييد" authorized_keys ، يقصد به أن يكون طريقة بسيطة ومستقلة لتقييد الحساب.
sshd (8)، ssh (1): دعم طريقة تبادل المفاتيح "curve25519-sha256". هذا مطابق للطريقة المدعومة حاليًا المسماة "curve25519-sha256@libssh.org".sshd (8): تحسين التعامل مع SIGHUP من خلال التحقق لمعرفة ما إذا كان sshd مبدئياً عند بدء التشغيل وتجاهل المكالمة إلى البرنامج الخفي (3) إذا كان كذلك. هذا يضمن أن إعادة تشغيل SIGHUP لـ sshd (8) سيحتفظ بنفس معرّف العملية مثل التنفيذ الأولي. كما سيقوم sshd (8) أيضًا بإلغاء ربط PidFile قبل إعادة تشغيل SIGHUP وإعادة إنشائه بعد إعادة التشغيل بنجاح ، بدلاً من ترك ملف قديم في حالة حدوث خطأ في التكوين. بيسة # 2641
sshd (8): السماح لتوجيهات ClientAliveInterval و ClientAliveCountMax بالظهور في كتل مطابقة sshd_config.
sshd (8): إضافة٪ -escapes إلى AuthorizedPrincipalsCommand لمطابقة تلك المعتمدة بواسطة AuthorizedKeysCommand (مفتاح ونوع المفتاح وبصمة الإصبع ، وما إلى ذلك) وغير ذلك المزيد لتوفير الوصول إلى محتويات الشهادة التي يتم تقديمها.
اختبارات الانحدار المضافة لمطابقة السلاسل ومطابقة العنوان وسلسلة عمليات التعقيم.
تحسين تسخير مفتاح fuzzer الصرف.
اصلاحات الشوائب:
ssh (1): السماح للهوية IdentityFile بتحميل واستخدام الشهادات التي ليس لها مفتاح عمومي مناظر. bz # 2617 شهادة id_rsa-cert.pub (ولا id_rsa.pub).ssh (1): إصلاح مصادقة المفتاح العام عند استخدام مصادقة متعددة و publickey ليس فقط حاول الأسلوب الأول. بيسة # 2642
التراجع: السماح لاختبارات التشغيل المتداخل PuTTY لتشغيل غير المراقب. بيسة # 2639
ssh-agent (1)، ssh (1): تحسين إعداد التقارير عند محاولة تحميل المفاتيح من الرموز المميزة لـ PKC # 11 مع عدد أقل من رسائل السجل غير المفيدة والمزيد من التفاصيل في رسائل التصحيح. بيسة # 2610
ssh (1): عند تمزيق اتصالات ControlMaster ، لا تلوث stderr عندما يكون LogLevel = quiet.
sftp (1): On ^ Z انتظر ssh الأساسي (1) للتعليق قبل تعليق sftp (1) للتأكد من أن ssh (1) يستعيد وضع المحطة بشكل صحيح إذا تم تعليقه أثناء مطالبة كلمة المرور.
ssh (1): تجنب الانتظار مشغول عندما يتم تعليق ssh (1) أثناء مطالبة كلمة المرور.
ssh (1) ، sshd (8): تقرير أخطاء بشكل صحيح أثناء إرسال رسائل ext-info.
sshd (8): إصلاح تعطل NULL-deref إذا تلقي sshd (8) رسالة NEWKEYS خارج التسلسل.
sshd (8): تصحيح قائمة خوارزميات التوقيع المدعومة في ملحق server-sig-algs. بيسة # 2547
sshd (8): إصلاح إرسال رسالة ext_info إذا تم تعطيل privsep.sshd (8): تنفيذ أكثر صرامة للطلب المتوقع لمكالمات مراقبة فصل الامتياز المستخدمة للتوثيق والسماح لها فقط عند تمكين أساليب المصادقة الخاصة بها في التكوين
sshd (8): إصلاح optlen غير مهيأ في استدعاء getsockopt ()؛ غير ضارة على يونكس / BSD لكن يحتمل أن تتحطم على Cygwin.
أصلح التقارير الإيجابية الخاطئة التي تسببها صراحة (3) لا يتم التعرف عليها كمبتدئ للذاكرة عند تجميعها مع -fsanitize-memory. sshd_config (5): استخدم 2001: db8 :: / 32 ، الشبكة الفرعية IPv6 الرسمية لأمثلة التكوين.
قابلية التنقل:
في البيئات التي تمت تهيئتها بالمواقع التركية ، ترجع إلى لغة C / POSIX لتجنب الأخطاء في تحليل التهيئة الناتج عن معالجة اللغة الفريدة للحروف 'i' و 'I'. بيسة # 2643
sftp-server (8)، ssh-agent (1): Deny ptrace on OS X using ptrace (PT_DENY_ATTACH، ..)
ssh (1)، sshd (8): Unbreak AES-CTR ciphers on old (~ 0.9.8) OpenSSL.
إصلاح تجميع ل libcrypto التي تم تجميعها بدون دعم RIPEMD160.
المساهمة: إضافة gnome-ssh-askpass3 مع دعم GTK + 3. bz # 2640 sshd (8): تحسين resnging PRNG عبر فصل الامتياز وإجبار libcrypto للحصول على بذور عالية الجودة قبل chroot أو sandboxing.
الكل: اختبار صريح لـ strnvis المعطوب. أضاف NetBSD برنامج strnvis ولسوء الحظ جعله غير متوافق مع الموجودة في OpenBSD و libbsd في Linux (حيث كان موجودًا منذ أكثر من عشر سنوات). حاول اكتشاف هذه الفوضى ، وافترض الخيار الآمن الوحيد إذا كنا نجمع الصور.
الجديد في الإصدار 7.3:
الأمان:sshd (8): تخفيف هجوم الحرمان من الخدمة المحتملة ضد وظيفة crypt (3) النظام عبر sshd (8). يمكن للمهاجم إرسال كلمات مرور طويلة جدًا قد تؤدي إلى استخدام وحدة المعالجة المركزية بشكل مفرط في سرداب (3). يرفض sshd (8) الآن قبول طلبات مصادقة كلمة المرور بطول أكبر من 1024 حرفًا. ذكرت بشكل مستقل من قبل توماس كوثان (أوراكل) ، وأندريس روخاس وخافيير نييتو.
sshd (8): تخفيف اختلافات التوقيت في مصادقة كلمة المرور التي يمكن استخدامها للتمييز الصحيح من أسماء الحسابات غير الصالحة عند إرسال كلمات المرور الطويلة واستخدام خوارزميات معينة لكلمة المرور على الخادم. CVE-2016-6210، by EddieEzra.Harari at verint.com
ssh (1)، sshd (8): إصلاح ضعف التوقيت الملحوظ في التدابير المضادة أوراكل CBC padding. تقرير جان بول ديغابريلي ، كيني باترسون ، توربن هانسن ومارتن ألبرشت. لاحظ أنه يتم تعطيل ciphers CBC بشكل افتراضي وتضمينها فقط للتوافق القديم.ssh (1)، sshd (8): تحسين ترتيب عملية التحقق من MAC لنمط تشفير - MAC - MAC (EtM) نقل خوارزميات MAC للتحقق من MAC قبل فك تشفير أي نص مجفر. هذا يزيل إمكانية وجود اختلافات في التوقيت تسريب حقائق حول النص العادي ، على الرغم من عدم ملاحظة مثل هذا التسرب. تقرير جان بول ديغابريلي ، كيني باترسون ، توربن هانسن ومارتن ألبرشت. sshd (8): (محمول فقط) تجاهل بيئة بيئة PAM عند UseLogin = نعم. إذا تم تكوين PAM لقراءة متغيرات البيئة المحددة من قبل المستخدم و UseLogin = yes في sshd_config ، فإن مستخدمًا محليًا معاديًا قد يهاجم / bin / login عبر LD_PRELOAD أو متغيرات بيئة مشابهة تم تعيينها عبر PAM. CVE-2015-8325 ، تم العثور عليها من قبل Shayan Sadigh.
ميزات جديدة:
ssh (1): إضافة خيار ProxyJump وعلامة -J لسطر سطر المقابلة للسماح بالتبسيط المبسط من خلال واحد أو أكثر من معاقل SSH أو "القفز على المضيفين".
ssh (1): إضافة خيار IdentityAgent للسماح بتحديد مآخذ عامل محددة بدلاً من قبول واحد من البيئة. ssh (1): السماح بتبديل ExitOnForwardFailure و ClearAllForwardings اختياريًا عند استخدام ssh -W. بيسة # 2577ssh (1)، sshd (8): تطبيق دعم لوضع IUTF8 الطرفية لكل مسودة sgtatham-secsh-iutf8-00. ssh (1)، sshd (8): إضافة دعم لمجموعات Diffie-Hellman إضافية ثابتة 2K و 4 K و 8 K من مسودة ietf-curdle-ssh-kex-sha2-03.
ssh-keygen (1)، ssh (1)، sshd (8): support SHA256 and SHA512 RSA signatures in certificates؛ ssh (1): إضافة توجيه تضمين لملفات ssh_config (5).
ssh (1): أدخِل رموز UTF-8 في إعلانات البانر المسبق التي تم إرسالها من الخادم. بيسة # 2058
اصلاحات الشوائب:
ssh (1)، sshd (8): تقليل مستوى سجل النظام لبعض أحداث البروتوكول الشائعة نسبيًا من LOG_CRIT. بيسة # 2585
sshd (8): Refuse AuthenticationMethods = "" في تكوينات وقبول AuthenticationMethods = أي السلوك الافتراضي لا يتطلب مصادقة متعددة. بيسة # 2398
sshd (8): إزالة قديمة ومضللة "ممكن كسر في محاولة!" عندما لا تتطابق إلى الأمام وعكس DNS. بيسة # 2585
ssh (1): إغلاق عملية الخلفية ControlPersist stderr فيما عدا في وضع التصحيح أو عند تسجيل الدخول إلى syslog. بيسة # 1988
متفرقات: جعل وصف PROTOCOL لـ direct -streamlocal@openssh.com قناة مفتوحة الرسائل مطابقة التعليمات البرمجية المنشورة. بيسة # 2529
ssh (1): تم تعطيل إدخالات Dateduplicate LocalForward و RemoteForward لإصلاح حالات فشل كل من ExitOnForwardFailure واسم hostname غير ممكن. بيسة # 2562
sshd (8): إزالة fallback من moduli إلى ملف "primes" المهملة التي تم إهمالها في 2001. bz # 2559.
sshd_config (5): وصف صحيح لـ UseDNS: إنه يؤثر على معالجة اسم المضيف ssh لـ authorized_keys ، غير known_hosts؛ bz # 2554 ssh (1): إصلاح المصادقة باستخدام مفاتيح شهادات فردية في وسيط بدون مفاتيح خاصة مناظرة في نظام الملفات. بيسة # 2550
sshd (8): إرسال التصحيحات ClientAliveInterval عند تعيين RekeyLimit تستند إلى الوقت؛ الحزم keepalive السابقة لم يتم إرسالها. بيسة # 2252
الجديد في الإصدار 7.2:
الأمان:ssh (1)، sshd (8): إزالة رمز التجوال غير المنتهي وغير المستخدم (تم بالفعل تعطيله قسريًا في OpenSSH 7.1p2).
ssh (1): قم بإزالة التراجع عن إعادة توجيه X11 غير الموثوق بها إلى إعادة التوجيه الموثوق عندما يقوم خادم X بتعطيل ملحق SECURITY.
ssh (1)، sshd (8): زيادة حجم المعيار الأدنى المدعوم لتبادل diffell-hellman-group إلى 2048 بت.
sshd (8): تم تمكين وضع الحماية للصور قبل المصادقة افتراضيًا (تم تمكين الإصدارات السابقة للتركيبات الجديدة عبر sshd_config).
ميزات جديدة:
الكل: إضافة دعم لتواقيع RSA باستخدام خوارزميات التجزئة SHA-256/512 استنادًا إلى draft-rsa-dsa-sha2-256-03.txt و draft-ssh-ext-info-04.txt.
ssh (1): قم بإضافة خيار عميل AddKeysToAgent والذي يمكن تعيينه على "yes" أو "no" أو "ask" أو "confirm" ثم افتراض "no". عند التمكين ، سيتم إضافة مفتاح خاص يتم استخدامه أثناء المصادقة إلى ssh-agent إذا كان قيد التشغيل (مع تمكين التأكيد إذا تم تعيينه على "confirm").sshd (8): إضافة خيار "authorized_keys" جديد "يتضمن" كل القيود الرئيسية الحالية والمستقبلية (لا - * - إعادة التوجيه ، إلخ). أضف أيضًا إصدارات مسموح بها من القيود الموجودة ، على سبيل المثال ، "لا فطيرة" - & gt؛ "بي تي واي". هذا يبسط مهمة إعداد المفاتيح المقيدة ويضمن أنها مقيدة بأقصى قدر ممكن ، بغض النظر عن أي أذونات قد ننفذها في المستقبل. ssh (1): إضافة ssh_config خيار CertificateFile لتسجيل الشهادات صراحةً. بيسة # 2436
ssh-keygen (1): تسمح ssh-keygen بتغيير التعليق الرئيسي لجميع التنسيقات المدعومة.
ssh-keygen (1): السماح بالبصمة من الإدخال القياسي ، على سبيل المثال ، "ssh-keygen -lf -"
ssh-keygen (1): السماح ببصمة مفاتيح عامة متعددة في ملف ، على سبيل المثال ، "ssh-keygen -lf ~ / .ssh / authorized_keys" bz # 1319
sshd (8): دعم "بلا" كوسيطة لـ sshd_config Foreground و ChrootDirectory. مفيدة داخل كتل المباراة لتجاوز الافتراضي العالمي. بيسة # 2486
ssh-keygen (1): دعم شهادات متعددة (واحد لكل سطر) والقراءة من الإدخال القياسي (باستخدام "-f -") لـ "ssh-keygen -L" ssh-keyscan (1): add "ssh-keyscan -c ... "العلامة للسماح بجلب الشهادات بدلاً من المفاتيح العادية.ssh (1): أفضل التعامل مع FQDNs الراسية (على سبيل المثال "cvs.openbsd.org.") في تحديد اسم المضيف الأساسي - التعامل معها كقانون أساسي بالفعل وإزالة الزائدة "." قبل مطابقة ssh_config.
اصلاحات الشوائب:
sftp (1): يجب ألا تنهي الدلائل الموجودة الموجودة التحميلات العودية (الانحدار في openssh 6.8) bz # 2528
ssh (1)، sshd (8): إرسال رسائل SSH2_MSG_UNIMPLEMENTED بشكل صحيح إلى رسائل غير متوقعة أثناء تبادل المفاتيح. بيسة # 2949
ssh (1): يرفض محاولات لتعيين ConnectionAttempts = 0 ، والذي لا معنى له ويتسبب ssh لطباعة متغير مكدس غير مهيأ. بيسة # 2500
ssh (1): إصلاح الأخطاء عند محاولة الاتصال بعناوين IPv6 التي تم تحديدها مع تمكين خاصية hostname الأساسية.
sshd_config (5): قم بإدراج عدة خيارات قابلة للاستخدام في كتل المكعبات. بيسة # 2489
sshd (8): إصلاح "PubkeyAcceptedKeyTypes + ..." داخل كتلة مطابقة. ssh (1): توسيع أحرف التلدة في أسماء الملفات تم تمريرها إلى -i خيارات قبل التحقق من وجود ملف الهوية أو لا. يتجنب الارتباك في الحالات التي لا يتم فيها توسيع shell (على سبيل المثال "-i ~ / file" مقابل "-i ~ / file"). بيسة # 2481ssh (1): لا تقم بترحيل "exec" إلى أمر shell الذي يتم تشغيله بواسطة "Match exec" في ملف config ، مما قد يتسبب في فشل بعض الأوامر في بيئات معينة. بيسة # 2471
ssh-keyscan (1): إخراج الإصلاح للعديد من المضيفين / addrs على سطر واحد عند تجزئة المضيف أو منفذ غير قياسي قيد الاستخدام bz # 2479
sshd (8): تخطي رسالة "تعذر chdir إلى الدليل الرئيسي" عندما يكون ChrootDirectory نشطًا. بيسة # 2485
ssh (1): include PubkeyAcceptedKeyTypes in ssh -G config dump. sshd (8): تجنب تغيير علامات الجهاز TunnelForwarding إذا كانت بالفعل ما هو مطلوب؛ يجعل من الممكن استخدام الشبكات tun / tap كمستخدم غير الجذر إذا كانت أذونات الجهاز وعلامات الواجهة مسبقة
ssh (1)، sshd (8): يمكن تجاوز RekeyLimits بواسطة حزمة واحدة. بيسة رقم 2521
ssh (1): إصلاح فشل تعدد الإرسال الرئيسي لملاحظة خروج العميل.
ssh (1) ، ssh-agent (1): تجنب fatal () لـ PKKS11 المميزة التي تعرض معرّفات المفاتيح الفارغة. بيسة # 1773
sshd (8): تجنب printf من الوسيطة NULL. بيسة # 2535
ssh (1)، sshd (8): allow RekeyLimits بحجم أكبر من 4 جيجابايت. بيسة رقم 2521
ssh-keygen (1): sshd (8): إصلاح عدة أخطاء في دعم توقيع KRL (غير مستخدمة).ssh (1)، sshd (8): إصلاح الاتصالات مع الأقران التي تستخدم ميزة تخمين تبادل المفتاح البروتوكول. بيسة # 2515
sshd (8): تضمين رقم المنفذ البعيد في رسائل السجل. بيسة # 2503
ssh (1): لا تحاول تحميل المفتاح الخاص SSHv1 عند التحويل البرمجي دون دعم SSHv1. بيسة # 2505
ssh-agent (1)، ssh (1): إصلاح رسائل الخطأ غير الصحيحة أثناء تحميل المفتاح وتوقيع الأخطاء. بيسة # 2507
ssh-keygen (1): لا تترك الملفات المؤقتة الفارغة عند إجراء عمليات تحرير ملف known_hosts عند عدم وجود known_hosts.
sshd (8): تنسيق الحزمة الصحيحة لردود tcpip-forward للطلبات التي لا تخصص منفذ bz # 2509
ssh (1)، sshd (8): إصلاح ممكن تعليق على الإخراج مغلق. bz # 2469 ssh (1): قم بتوسيع٪ i في ControlPath إلى UID. بيسة # 2449
ssh (1)، sshd (8): fix return type of openssh_RSA_verify. بيسة # 2460
ssh (1)، sshd (8): إصلاح بعض الحلول تسرب الذاكرة. بيسة # 2182
ssh (1): إضافة بعض إخراج debug قبل تحليل DNS؛ إنه المكان الذي كان يمكن لـ ssh إيقافه مؤقتًا في حالات خوادم DNS غير المستجيبة. bz # 2433 ssh (1): إزالة السطر الجديد الهامشي في مفتاح المضيف المرئي. بيسة # 2686
ssh (1): إصلاح الطباعة (ssh -G ...) من HostKeyAlgorithms = + ...
ssh (1): إصلاح توسيع HostkeyAlgorithms = + ...كابل بيانات:
ssh_config (5)، sshd_config (5): تحديث قوائم الخوارزمية الافتراضية لمطابقة الواقع الحالي. بيسة # 2527
ssh (1): أذكر q-key-عادي و -Q خيارات الاستعلام عن مفاتيح الخادم. بيسة # 2455
sshd_config (8): وصف أكثر بوضوح ما هي AuthorizedKeysFile = none.
ssh_config (5): أفضل مستند ExitOnForwardFailure. بيسة # 2444
sshd (5): ذكر مجموعات DH-GEX الاحتياطية الداخلية في الدليل. بيسة # 2302
sshd_config (5): وصف أفضل لخيار MaxSessions. بيسة # 2531
قابلية التنقل:
ssh (1)، sftp-server (8)، ssh-agent (1)، sshd (8): Support Illumos / Solaris fine-grained privileges. بما في ذلك sandbox pre-auth privsep والعديد من عمليات المحاكاة (). بيسة # 2511
Renovate redhat / openssh.spec، remove offrecrecated options and syntax.
تكوين: السماح - دون محرك SSL مع - دون opensl
sshd (8): إصلاح مصادقة متعددة باستخدام S / Key. بيسة # 2502
sshd (8): قراءة مرة أخرى من libcrypto RAND_Before إسقاط الامتيازات. يتجنب انتهاكات sandboxing مع BoringSSL.
اصطدام الاسم مع وظائف glob (3) التي يوفرها النظام. بيسة # 2463
تكييف Makefile لاستخدام ssh-keygen -A عند إنشاء مفاتيح المضيف. بيسة # 2459تكوين: القيمة الافتراضية الصحيحة ل- with-ssh1 bz # 2457
تكوين: كشف أفضل من رمز _res bz # 2259
دعم getrandom () syscall على لينكس
الجديد في الإصدار 7.1:
الأمان:
sshd (8): يحتوي OpenSSH 7.0 على خطأ منطقي في PermitRootLogin = حظر كلمة المرور / بدون كلمة مرور يمكن ، استنادًا إلى تكوين وقت التحويل البرمجي ، السماح بتوثيق كلمة المرور إلى الجذر مع منع أشكال أخرى من المصادقة. تم الإبلاغ عن هذه المشكلة بواسطة Mantas Mikulenas.
اصلاحات الشوائب:
ssh (1)، sshd (8): إضافة الحلول التوافقية لـ FuTTY
ssh (1)، sshd (8): تحسين حلول التوافق لـ WinSCP
إصلاح عدد من أخطاء الذاكرة (مزدوجة خالية ، خالية من الذاكرة غير مهيأة ، إلخ) في ssh (1) و ssh-keygen (1). ذكرت من قبل Mateusz Kocielski.
لم يتم العثور على التعليقات