The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

06.05.2016 08:37  Разработчики OpenSSH опубликовали план прекращения поддержки протокола SSHv1

Представлен план полного удаления реализации устаревшего протокола SSHv1 из кодовой базы OpenSSH. Начиная с выпуска OpenSSH 7.0, уже около года поддержка SSHv1 отключена по умолчанию и требует сборки со специальным флагом. Большинство дистрибутивов уже последовали этому изменению и поставляют OpenSSH с выключенным SSHv1. В соответствии с планом, в июньском выпуске OpenSSH 7.3 поддержка SSHv1 останется без изменений. В августе будет сформирован выпуск OpenSSH 7.4, в котором будет удалён код, связанный с использованием SSHv1 на стороне сервера. Возможность использования клиентской части SSHv1 планируется прекратить в июне 2017 года.

Напомним, что протокол SSHv1 был признан устаревшим около 10 лет назад. Кроме недостаточного уровня защиты, сохранение SSHv1 накладывает определённые ограничения на кодовую базу. Например, работа OpenSSH без привязки к библиотеке OpenSSL возможна только при использовании протокола SSHv2, так как встроенные алгоритмы (curve25519, aes-ctr, chacha20+poly1305 и ed25519) неприменимы к SSHv1. Отключение SSHv1 на этапе сборки позволило предоставить возможность поставки в дистрибутивах самодостаточных в плане методов шифрования конфигураций OpenSSH, собранных без привязки к OpenSSL.

  1. Главная ссылка к новости (http://lists.mindrot.org/piper...)
  2. OpenNews: Обновление OpenSSH 7.2p2 с устранением уязвимости в режиме X11Forwarding
  3. OpenNews: Выпуск OpenSSH 7.2
  4. OpenNews: В OpenSSH устранена критическая уязвимость
  5. OpenNews: Новая атака SLOTH, затрагивающая протоколы TLS 1.2, SSH и IKE/IPsec с MD5 и SHA-1
  6. OpenNews: Выпуск OpenSSH 7.0
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: ssh, openssh
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 08:46, 06/05/2016 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    Как узнать какой алгоритм используется в текущей ssh сессии?
     
     
  • 2.3, ТТТ (?), 08:51, 06/05/2016 [^] [ответить]    [к модератору]
  • –1 +/
    С большой вероятностью будет использоваться второй, так как в некоторых случаях первый даже отключен. Полный ответ можно загуглить по "How can I find current ssh protocol version of current connection?", ссылка на superuser.
     
     
  • 3.5, Аноним (-), 09:30, 06/05/2016 [^] [ответить]     [к модератору]
  • +/
    Вопрос был о версии протокола, а не об алгоритме Как узнать 8212 с какой сто... весь текст скрыт [показать]
     
     
  • 4.6, Аноним (-), 09:31, 06/05/2016 [^] [ответить]     [к модератору]  
  • +1 +/
    В смысле наоборот Прошу прощения ... весь текст скрыт [показать]
     
  • 2.24, OpenVMS (?), 12:07, 09/05/2016 [^] [ответить]    [к модератору]  
  • +/
    ssh -v не показывает разве?
     
  • 1.2, Какаянахренразница (ok), 08:50, 06/05/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –9 +/
    > план полного удаления реализации устаревшего протокола

    Лёгким движением руки OpenSSH превращается ... превращается ... в LibreSSH!!!

     
     
  • 2.4, бедный буратино (ok), 09:24, 06/05/2016 [^] [ответить]    [к модератору]  
  • +6 +/
    ага, а OpenBSD - в LibreBSD... хватит нести ахинею
     
     
  • 3.7, Какаянахренразница (ok), 10:34, 06/05/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    Не плакай, никто опёнка не обижает.

    Я к тому, что Тео сделал точно то же самое (выбросил старые и ненадёжные протоколы, примитивы и пр.), только раньше.

     
  • 2.8, Crazy Alex (ok), 11:09, 06/05/2016 [^] [ответить]    [к модератору]  
  • +/
    Ну вот разница в том, что одни это делают в прыжке, а другие - дают год, чтобы все заинтересованные поготовились, с массой анонсов происходящего.
     
  • 1.9, eRIC (ok), 14:23, 06/05/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Годно, давно пора OpenSSH'у работать независимо от OpenSSL(который очень часто патчится)
     
     
  • 2.10, бедный буратино (ok), 14:51, 06/05/2016 [^] [ответить]    [к модератору]  
  • +/
    в OpenBSD оно без openssl работает:

    # openssl version
    LibreSSL 2.3.4

     
  • 1.11, Pilat (ok), 05:42, 07/05/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Интересно, как коннектиться будем к SSHv1 устройствам...
     
     
  • 2.12, alex (??), 07:06, 07/05/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    интересно сколько таких осталось на Земле?
    если даже на запущенных хз сколько лет назад и улетевших за пределы Солнечной системы аппаратах прошивки обновляют
     
     
  • 3.13, Pilat (ok), 07:22, 07/05/2016 [^] [ответить]    [к модератору]  
  • +/
    > интересно сколько таких осталось на Земле?
    > если даже на запущенных хз сколько лет назад и улетевших за пределы
    > Солнечной системы аппаратах прошивки обновляют

    Да миллионы.

     
     
  • 4.14, alex (??), 07:54, 07/05/2016 [^] [ответить]    [к модератору]  
  • +/
    я вот ни разу не встречал. sshv2 - сотни, а v1 - ни одного, даже обидно.
    можно конкретные примеры? чисто для удовлетворения любопытства - как оно выглядит
    да и кто запрещает сохранить сейчас исходники sshv1 клиента, чтобы в будущем было чем пользоваться?
     
     
  • 5.15, Pilat (ok), 07:59, 07/05/2016 [^] [ответить]    [к модератору]  
  • +/
    > я вот ни разу не встречал. sshv2 - сотни, а v1 -
    > ни одного, даже обидно.
    > можно конкретные примеры? чисто для удовлетворения любопытства - как оно выглядит
    > да и кто запрещает сохранить сейчас исходники sshv1 клиента, чтобы в будущем
    > было чем пользоваться?

    Да все linux-системы и аппаратура, выпущенные до 200-го года примерно.

     
     
  • 6.17, alex (??), 10:07, 07/05/2016 [^] [ответить]    [к модератору]  
  • +/
    до 200-го года аппаратура работала на дровах, а если не на дровах - то это магия и на горящие дрова помещали автора :-)
     
  • 3.16, nikosd (ok), 08:28, 07/05/2016 [^] [ответить]    [к модератору]  
  • +/
    Для обновления прошивки она должна существовать (:
    Есть пара железок в локалке,  которые не умеют телнет и просят ssh первой версии.
     
     
  • 4.18, alex (??), 10:11, 07/05/2016 [^] [ответить]    [к модератору]  
  • +/
    может вы назовёте модель? хочется взглянуть на это чудо работающее второй десяток лет и приносящее пользу и радость
     
     
  • 5.20, Аноним (-), 01:50, 09/05/2016 [^] [ответить]    [к модератору]  
  • +/
    Еще айпишник пусть скажет.
     
  • 5.22, zanswer (?), 06:15, 09/05/2016 [^] [ответить]    [к модератору]  
  • +/
    У меня UPS, поддерживают только SSHv1, в прочем это не большая проблема конечно, не так часто приходиться к ним подключаться через удалённую консоль, можно и Web Console для такого случая включить.
     
     
  • 6.23, Михрютка (ok), 09:30, 09/05/2016 [^] [ответить]    [к модератору]  
  • +/
    > У меня UPS, поддерживают только SSHv1, в прочем это не большая проблема
    > конечно, не так часто приходиться к ним подключаться через удалённую консоль,
    > можно и Web Console для такого случая включить.

    которая перестала работать с современными браузерами еще раньше.

     
     
  • 7.25, zanswer (?), 21:00, 09/05/2016 [^] [ответить]    [к модератору]  
  • +/
    Да, есть такое дело, но, IE, пока ещё доступен в Windows 10, а там возможно, новое оборудование всё же обновят, для поддержки SSHv2.
     
     
  • 8.30, Михрютка (ok), 23:31, 10/05/2016 [^] [ответить]    [к модератору]  
  • +/
    > Да, есть такое дело, но, IE, пока ещё доступен в Windows 10,
    > а там возможно, новое оборудование всё же обновят, для поддержки SSHv2.

    как я уже говорил, я это решил, просто взяв старый ESR релиз FF, 17-й по-моему в портабельной сборке

    именно для открытия кучи вебморд старого железа.

     
  • 5.31, nikosd (ok), 15:47, 13/05/2016 [^] [ответить]    [к модератору]  
  • +/
    > может вы назовёте модель? хочется взглянуть на это чудо работающее второй десяток
    > лет и приносящее пользу и радость

    IP без проблем
    90.254.200.10 - Это для нас фейковая сеть. Модель-  а фиг его знает, производитель RAD SDH  модем,  если кто скажет как его спросить точную модель выложу вывод.
    А еще у меня в сети 2508  трудятся консольными серверами - есть желающие завести там полнеценный SSH2 ?  (опять же -  они стоят в приватной сети, SSH Это  привычка )

     
  • 1.19, Аноним (-), 20:10, 08/05/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Печально. На cisco 2511 только sshv1, а она ведь отличная консолька на кучу железа в серверной. Вот уроды, теперь менять её придётся ибо не всегда будет старый openssh клиент под рукой.
     
     
  • 2.21, Аноним (-), 01:51, 09/05/2016 [^] [ответить]     [к модератору]  
  • +/
    Вот и спроси у сиски не хочет ли сиска обновить прошивку Пусть сиска и поддержи... весь текст скрыт [показать]
     
     
  • 3.28, Аноним (-), 10:34, 10/05/2016 [^] [ответить]    [к модератору]  
  • +/
    А зачем ей, вот вы продали продукт, через 10 лет к вам приходят и говорят, мужик, не работает в продаваемых версиях win* ( даже из исходиников не компилится ), будь добр обнови чтоб заработало :)
     
  • 1.26, Аноним (26), 22:07, 09/05/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    О российской криптографии в OpenSSH


    http://soft.lissi.ru/products/vpn/foxssh/

     
     
  • 2.27, Andrey Mitrofanov (?), 22:56, 09/05/2016 [^] [ответить]    [к модератору]  
  • +/
    > О российской криптографии в

    Мне просто интересно, перечислите, пожалуйста, случаи, когда  "российская криптография" нужна? Ну, пока без экстремизма, когда значение Пи в военное время принимается равным 4.

    Какие из этих случаев _хоть_ как-то затрагивают аудиторию этого сайта? А без публикуемых в апстриме патчей -- просто сухим языком SMS и линк-спама?...

     
     
  • 3.29, Аноним (-), 10:36, 10/05/2016 [^] [ответить]     [к модератору]  
  • +/
    В логах сервера наблюдал попытку коннекта с GOSTRxxx заинтересовало даже ... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor