The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

29.02.2016 11:58  Выпуск OpenSSH 7.2

Доступен релиз OpenSSH 7.2, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP (временно оставлена поддержка устаревших протоколов SSH 1.3 и 1.5, но она требует активации на этапе компиляции).

В новой версии прекращена поддержка ряда возможностей, что может негативно отразиться на совместимости с существующими конфигурациями. В частности, по умолчанию отключены алгоритмы HMAC на основе MD5, шифры blowfish-cbc, cast128-cbc, все варианты arcfour и алиасы rijndael-cbc для AES. В следующем выпуске будет запрещено использование любых RSA-ключей, размером менее 1024 бит.

Изменения в OpenSSH 7.2:

  • На платформе Linux добавлена поддержка системного вызова getrandom(), появившегося в ядре 3.17 и являющегося аналогом системного вызова getentropy, присутствующего в OpenBSD. Getrandom предоставит надёжную защиту от атак, основанных на исчерпании доступных файловых дескрипторов, за счёт предоставления случайных чисел от системного PRNG даже в условиях отсутствия свободных файловых дескрипторов;
  • В Solaris и Illumos в реализациях ssh, sftp-server, ssh-agent и sshd задействованы специфичные для платформы механизмы гранулированного предоставления отдельных привилегий. В том числе задействованы pre-auth privsep sandbox и эмуляция вызова pledge();
  • Обновлена спецификация пакета redhat/openssh.spec;
  • Добавлена возможность совместного указания сборочных опций "--without-ssl-engine" и "--without-openssl";
  • Обеспечена совместимость с sandbox-режимом в BoringSSL;
  • В файлах Makefile для генерации ключей хоста задействован вызов "ssh-keygen -A";
  • Добавлена поддержка использования алгоритмов хэширования SHA-256/512 в цифровых подписях RSA, в соответствии со спецификациями draft-rsa-dsa-sha2-256-03.txt и draft-ssh-ext-info-04.txt;
  • В клиент ssh добавлена опция AddKeysToAgent, управляющая передачей в ssh-agent закрытого ключа, используемого в процессе аутентификации. Опция может принимать значения 'yes', 'no', 'ask', и 'confirm' (по умолчанию 'no')
  • В sshd в директиву authorized_keys добавлена опция "restrict", которая охватывает все имеющиеся и реализованные в будущем ограничения по использованию ключей (no-*-forwarding и т.п.). Кроме того, добавлены антиподы существующим ограничителям, например, кроме "no-pty" добавлен "pty", что позволяет определять список исключений после указания "restrict";
  • В ssh для директивы ssh_config представлена опция CertificateFile, позволяющая явно перечислить файлы с сертификатами;
  • В sshd добавлена возможность отключения запуска в фоновом режиме и использования chroot через указание значения none в директивах Foreground и ChrootDirectory (полезно для использования в блоках Match для переопределения поведения по умолчанию в особых ситуациях);
  • В ssh-keygen добавлена возможность смены комментария к ключу во всех поддерживаемых форматах;
  • В ssh-keygen добавлена поддержка создания отпечатка при загрузке ключа через стандартный входной поток ("ssh-keygen -lf -") и возможность формирования отпечатков сразу для нескольких открытых ключей, перечисленных в файле ("ssh-keygen -lf ~/.ssh/authorized_keys");
  • В ssh-keygen при выполнении операции "ssh-keygen -L" добавлена возможность обработки нескольких сертификатов (по одному в строке) и их чтение из стандартного входного потока ("-f -");
  • В ssh-keyscan добавлен флаг "ssh-keyscan -c ...", позволяющий извлекать сертификаты вместо отдельных ключей;
  • В ssh обеспечена нормализация заканчивающихся точкой доменных имён (например, 'cvs.openbsd.org.'): точка теперь удаляется перед выполнением операций сравнения в ssh_config;
  • Изменения, связанные с безопасностью:
    • Удалён код с реализацией недокументированной функции роуминга, который был отключен в версии 7.1p2 из-за обнаружения критической уязвимости;
    • В ssh запрещён переход из не заслуживающего доверия проброса X11 к перенаправлению на заслуживающий доверия сервер, в случае если на X-сервере отключено расширение SECURITY;
    • В ssh и sshd до 2048 бит увеличен минимальный размер модуля для diffie-hellman-group-exchange;
    • В sshd включено по умолчанию применение sandbox-изоляции на стадии до начала аутентификации (ранее, sandbox включался по умолчанию в sshd_config и действовал только для новых установок).


  1. Главная ссылка к новости (http://lists.mindrot.org/piper...)
  2. OpenNews: В OpenSSH устранена критическая уязвимость
  3. OpenNews: Компания Microsoft опубликовала порт OpenSSH для Windows
  4. OpenNews: Выпуск OpenSSH 7.1
  5. OpenNews: Выпуск OpenSSH 7.0
  6. OpenNews: Solaris переходит с SunSSH на OpenSSH
Лицензия: CC-BY
Тип: Программы
Ключевые слова: openssh
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.2, Ilya Indigo, 14:40, 29/02/2016 [ответить] [смотреть все]
  • –1 +/
    > Доступен релиз OpenSSH 7.2

    А в openSUSE до сих пор 6.6p1 и, по всей видимости, обновлять они его на что-то свежее и не собираются. :-(

     
     
  • 2.7, Анончик, 15:08, 29/02/2016 [^] [ответить] [смотреть все] [показать ветку]
  • +2 +/
    Ну, в него регулярно бэкпортируют патчи, связанные с безопасностью 8212 а ост... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.8, Ilya Indigo, 15:23, 29/02/2016 [^] [ответить] [смотреть все]  
  • +/
    Ну в Debian-то понятно, у них политика такая А в Debian testing, кстати, 7 1p2 ... весь текст скрыт [показать]
     
     
  • 4.23, menangen, 00:52, 01/03/2016 [^] [ответить] [смотреть все]  
  • +/
    Илья, так ты смотри в репозитории network для Leap - там 7.1p2
     
     
  • 5.24, Ilya Indigo, 01:03, 01/03/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Про дополнительные репозитории я прекрасно знаю Когда был на 11 12 13 При... весь текст скрыт [показать]
     
     
  • 6.26, cmp, 02:58, 01/03/2016 [^] [ответить] [смотреть все]  
  • +/
    Спсибо. Давно хотел попробовать сусю, но вижу, что это пустая трата времени.
     
  • 6.27, Аноним, 09:27, 01/03/2016 [^] [ответить] [смотреть все]  
  • +/
    Переходи на арчег, там проще Уж если ты с кучей репов и их зависимостей пердоли... весь текст скрыт [показать]
     
     
  • 7.37, Led, 22:31, 01/03/2016 [^] [ответить] [смотреть все]  
  • +/
    > Переходи на арчег

    Вечерняя школа?

     
  • 6.34, Игорь, 20:31, 01/03/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Илья, а ты еще не сказал о самом главном - в SUSE без подключения сторонних реп ... весь текст скрыт [показать]
     
     
  • 7.35, Ilya Indigo, 20:41, 01/03/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Хуже Я настолько уже привык, что после установки нужно, как минимум code sudo ... весь текст скрыт [показать]
     
  • 1.12, Аноним, 16:15, 29/02/2016 [ответить] [смотреть все]  
  • –4 +/
    Ребята, как в docker подменять время?
     
     
  • 2.14, Аноним, 16:37, 29/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    никак? зачем тогда он нужен :(
     
  • 2.39, Аноним, 01:49, 06/03/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Таймзону меняй.
     
  • 1.13, Forth, 16:18, 29/02/2016 [ответить] [смотреть все]  
  • +/
    А за что blowfish-cbc запретили?
     
     
  • 2.25, arzeth, 01:46, 01/03/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ну в коммите они написали 171 old crypto 187 , и в чейнджлоге 171 legacy 1... весь текст скрыт [показать] [показать ветку]
     
  • 1.15, Аноним, 16:43, 29/02/2016 [ответить] [смотреть все]  
  • –5 +/
    То есть, они там лучше меня знают, какие ключи мне на моей машине использовать ... весь текст скрыт [показать]
     
     
  • 2.19, Аноним, 18:02, 29/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Всмысле, ты лучше знаешь как им делать?
     
     
  • 3.28, Аноним, 09:31, 01/03/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Нет, я просто не люблю, когда решают за меня Если вдруг мне захочется, чтобы ка... весь текст скрыт [показать]
     
  • 2.20, Kodesu, 18:58, 29/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    Все правильно делают. Хочешь вы*бнуться - исходники у тебя есть, действуй.
     
     
  • 3.22, Led, 23:04, 29/02/2016 [^] [ответить] [смотреть все]  
  • +/
    > Хочешь вы*бнуться

    Так он это и сделал.

     
  • 3.29, Аноним, 09:34, 01/03/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    И то правда Одна маленькая поправочка - мне хочется не вы бнуться , мне хочетс... весь текст скрыт [показать]
     
     
  • 4.30, Аноним, 09:51, 01/03/2016 [^] [ответить] [смотреть все]  
  • +/
    Ваша претензия была бы понятна, если бы у вас не было реальной возможности контр... весь текст скрыт [показать]
     
     
  • 5.40, Аноним, 01:50, 06/03/2016 [^] [ответить] [смотреть все]  
  • +/
    Блаженный?
     
  • 4.38, Led, 22:33, 01/03/2016 [^] [ответить] [смотреть все]  
  • +/
    Подрастёшь - будешь решать ... весь текст скрыт [показать]
     
  • 1.16, Аноним, 17:26, 29/02/2016 [ответить] [смотреть все]  
  • –1 +/
    В чем разница И надо ли передавать обе опции чтобы отключить совсем ... весь текст скрыт [показать]
     
  • 1.21, ALex_hha, 19:26, 29/02/2016 [ответить] [смотреть все]  
  • +/
    > А в openSUSE до сих пор 6.6p1 и, по всей видимости, обновлять они его на что-то свежее и не собираются. :-(

    CentOS release 6.7 (Final)
    OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013

    Особо не мешает. Но если очень хочется, никто не мешает поднять вам на альтернативном порту нужную вам версию

     
     
  • 2.31, эцсамое, 11:15, 01/03/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    > 5.3p1
    > 1.0.1e-fips

    а можно айпи посмотреть?

     
  • 1.36, ALex_hha, 22:24, 01/03/2016 [ответить] [смотреть все]  
  • +/
    И что тебе даст ip? Вон у гугла до сих пор есть поддержка sslv3, много тебе это даст? :D
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList