The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

01.08.2016 21:24  Релиз OpenSSH 7.3

Состоялся релиз OpenSSH 7.3, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. Поддержка устаревших протоколов SSH 1.3 и 1.5 в OpenSSH 7.3 сохранена, но требует активации на этапе компиляции. В OpenSSH 7.4 будет удалён код, связанный с использованием SSHv1 на стороне сервера, а летом 2017 года планируют удалить код клиентской части SSHv1. В будущих выпусках также планируют запретить использование любых RSA-ключей, размером менее 1024 бит.

Изменения в OpenSSH 7.3:

  • В файл конфигурации ssh_config добавлена директива Include, позволяющая включать содержимое других файлов;
  • Для клиента ssh реализована настройка ProxyJump и опция командной строки "-J", позволяющая упростить настройку проброса через один или несколько промежуточных SSH-хостов;
  • В ssh добавлена настройка IdentityAgent, через которую можно указать произвольный сокет для ssh-agent, который будет использован вместо сокета, указанного через переменную окружения;
  • В ssh реализована возможность переопределения значений параметров ExitOnForwardFailure и ClearAllForwardings через их переустановку в командной строке при помощи "ssh -W";
  • В ssh и sshd добавлена поддержка режима терминала IUTF8;
  • В ssh и sshd добавлена поддержка дополнительных фиксированных групп Diffie-Hellman, размером 2K, 4K и 8K;
  • В ssh-keygen, ssh и sshd добавлена поддержка цифровых подписей на базе SHA256 и SHA512 в сертификатах RSA;
  • В ssh разрешено использовать символы UTF-8 в выводимом перед аутентификацией приглашении, поступающем от сервера;
  • В ssh и sshd обеспечено автоматическое отключение шифров, не поддерживаемых OpenSSL;
  • Решены проблемы со сборкой на платформах AIX и Solaris;
  • В sshd расширен список архитектур для которых активируется механизм фильтрации системных вызовов seccomp-bpf;
  • Устранено несколько уязвимостей:
    • Устранена потенциальная DoS-уязвимость в sshd, возникающая из-за слишком большого потребления ресурсов при обработке функцией crypt слишком длинных паролей. Начиная с OpenSSH 7.3 запрещена передача паролей, длиннее 1024 символов;
    • Устранена уязвимость CVE-2016-6210, позволяющая на основе ответа сервера определить существует или нет пользователь в системе. Применявшийся для внесения задержки для несуществующих пользователей хэш BLOWFISH на слишком длинных паролях выполняется заметно дольше, чем применяемые для существующих пользователей хэши SHA256/SHA512, что позволяет по времени выполнения операции определить факт существования проверяемого логина в системе;
    • Устранены различия во времени формирования добавочного заполнения (padding oracle) в шифрах CBC (отключен по умолчанию);
    • Устранены проблемы с порядком проверки MAC для алгоритмов Encrypt-then-MAC (EtM) - MAC теперь всегда проверяется до расшифровки блоков. Разница в порядке проверки могла применяться для оценки параметров расшифрованных данных на основе времени их расшифровки;
    • В переносимой версии sshd теперь игнорируются переменные окружения PAM при наличии настройки UseLogin=yes, что блокирует возможности атаки на /bin/login через подстановку переменной окружения LD_PRELOAD через PAM (уязвимость CVE-2015-8325);


  1. Главная ссылка к новости (http://lists.mindrot.org/piper...)
  2. OpenNews: Обход защиты OpenSSH, препятствующей определению наличия пользователя
  3. OpenNews: Разработчики OpenSSH опубликовали план прекращения поддержки протокола SSHv1
  4. OpenNews: Обновление OpenSSH 7.2p2 с устранением уязвимости в режиме X11Forwarding
  5. OpenNews: Выпуск OpenSSH 7.2
  6. OpenNews: В OpenSSH устранена критическая уязвимость
Лицензия: CC-BY
Тип: Программы
Ключевые слова: openssh
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, h31, 22:54, 01/08/2016 [ответить] [смотреть все]
  • +3 +/
    > Для клиента ssh реализована настройка ProxyJump и опция командной строки "-J", позволяющая упростить настройку проброса через один или несколько промежуточных SSH-хостов;

    Я джва года этого ждал.

     
     
  • 2.4, gre, 00:44, 02/08/2016 [^] [ответить] [смотреть все] [показать ветку]
  • +/
    А что не так?
     
  • 2.8, John, 09:56, 02/08/2016 [^] [ответить] [смотреть все] [показать ветку]
  • +2 +/
    Раньше тоже можно было сделать себе удобно в т ч цепочки через ProxyCommand в... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.11, h31, 11:40, 02/08/2016 [^] [ответить] [смотреть все]  
  • +/
    Тут ещё фишка в том, что цепочки можно сделать чисто через аргументы, без редакт... весь текст скрыт [показать]
     
  • 1.2, Ilya Indigo, 00:02, 02/08/2016 [ответить] [смотреть все]  
  • –1 +/
    Прямо праздник какой-то.
    Сегодня, наконец-то, в openSUSE обновили openssh с 6.6 на 7.2.
    Подумал, не ужели у меня, наконец-то, будет свежий openssh, но не тут-то было.
     
     
  • 2.7, Аноним, 09:18, 02/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    В тамблвид что-ли? В 42.1 все так же 6.6.
     
     
  • 3.12, Ilya Indigo, 12:36, 02/08/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Ага, причём после обновления, клиенты не хотели соединятся с серверами из-за 2-у... весь текст скрыт [показать]
     
     
  • 4.19, KM, 01:34, 04/08/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    В репозитории network есть 7.2. Не обязательно сетовать на tmblwd.
     
     
  • 5.20, Ilya Indigo, 01:48, 04/08/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Спасибо, накушался я на номерных версиях, на каждое нужное приложение более свеж... весь текст скрыт [показать]
     
     
  • 6.22, KM, 10:03, 04/08/2016 [^] [ответить] [смотреть все]  
  • +/
    Ну, тогда rpm -ivh из внешних rpm Т е проблемы, как таковой, нет Но да, прият... весь текст скрыт [показать]
     
  • 1.3, Ilya Indigo, 00:15, 02/08/2016 [ответить] [смотреть все]  
  • –2 +/
    > OpenSSH 7.4 будет удалён код, связанный с использованием SSHv1 на стороне сервера, а летом 2017 года планируют удалить код клиентской части SSHv1.

    А сервер и клиент со строчкой в конфиге "Protocol 2" окажутся неработоспособными?

     
     
  • 2.6, eRIC, 08:04, 02/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    нет, ведь SSHv2 остается удалится все но связанное с SSHv1 ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.21, Ilya Indigo, 01:50, 04/08/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Но ведь и эта опция станет бессмысленной, которую могут удалить, и с которой я о... весь текст скрыт [показать]
     
  • 2.14, Аноним, 14:20, 02/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Как можно было вообще к такому выводу прийти?
     
     
  • 3.15, Ilya Indigo, 14:48, 02/08/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    > Как можно было вообще к такому выводу прийти?

    Во-первых, это был вопрос!
    Во-вторых, на основании печального опыта неработоспособности клиента после обновления, когда в новой версии сделали устарелыми некоторые строки конфигурации.

     
  • 1.5, Аноним, 01:28, 02/08/2016 [ответить] [смотреть все]  
  • +4 +/
    Не прошло и 20 лет, как запилили... весь текст скрыт [показать]
     
     
  • 2.10, Аноним, 11:19, 02/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Лучше RegExp в условии с хостом для подмены ключей по маске одним шаблоном Amaz... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.16, Аноним, 15:44, 02/08/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Бред Генерируйте файл, или используйте более продвинутые инструменты, типа nixo... весь текст скрыт [показать]
     
     
  • 4.17, Аноним, 16:17, 02/08/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Оставьте свой DevOps при себе.
     
  • 1.9, Аноним, 11:06, 02/08/2016 [ответить] [смотреть все]  
  • +2 +/
    Это распространяется на sshd_config ... весь текст скрыт [показать]
     
     
  • 2.13, Аноним, 13:58, 02/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Отвечаю сам себе — увы, нет. Грусть-печаль.
     
  • 1.18, Аноним, 21:24, 02/08/2016 [ответить] [смотреть все]  
  • +/
    Может быть знающие люди пояснят, зачем использовать разные хеши Разве использов... весь текст скрыт [показать]
     
  • 1.23, Аноним, 23:24, 06/08/2016 [ответить] [смотреть все]  
  • +/
    Проблем со сборкой на Solaris и AIX в 7 2 не было А в 7 3 они появились - и как... весь текст скрыт [показать]
     
     
  • 2.24, Аноним, 23:56, 06/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Мамочки, скелет из музея палеонтологии разговаривает!
     
  • 2.25, Аноним, 03:39, 07/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Вы там еще живы? держитесь денег нету!
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList