The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

01.08.2016 21:24  Релиз OpenSSH 7.3

Состоялся релиз OpenSSH 7.3, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. Поддержка устаревших протоколов SSH 1.3 и 1.5 в OpenSSH 7.3 сохранена, но требует активации на этапе компиляции. В OpenSSH 7.4 будет удалён код, связанный с использованием SSHv1 на стороне сервера, а летом 2017 года планируют удалить код клиентской части SSHv1. В будущих выпусках также планируют запретить использование любых RSA-ключей, размером менее 1024 бит.

Изменения в OpenSSH 7.3:

  • В файл конфигурации ssh_config добавлена директива Include, позволяющая включать содержимое других файлов;
  • Для клиента ssh реализована настройка ProxyJump и опция командной строки "-J", позволяющая упростить настройку проброса через один или несколько промежуточных SSH-хостов;
  • В ssh добавлена настройка IdentityAgent, через которую можно указать произвольный сокет для ssh-agent, который будет использован вместо сокета, указанного через переменную окружения;
  • В ssh реализована возможность переопределения значений параметров ExitOnForwardFailure и ClearAllForwardings через их переустановку в командной строке при помощи "ssh -W";
  • В ssh и sshd добавлена поддержка режима терминала IUTF8;
  • В ssh и sshd добавлена поддержка дополнительных фиксированных групп Diffie-Hellman, размером 2K, 4K и 8K;
  • В ssh-keygen, ssh и sshd добавлена поддержка цифровых подписей на базе SHA256 и SHA512 в сертификатах RSA;
  • В ssh разрешено использовать символы UTF-8 в выводимом перед аутентификацией приглашении, поступающем от сервера;
  • В ssh и sshd обеспечено автоматическое отключение шифров, не поддерживаемых OpenSSL;
  • Решены проблемы со сборкой на платформах AIX и Solaris;
  • В sshd расширен список архитектур для которых активируется механизм фильтрации системных вызовов seccomp-bpf;
  • Устранено несколько уязвимостей:
    • Устранена потенциальная DoS-уязвимость в sshd, возникающая из-за слишком большого потребления ресурсов при обработке функцией crypt слишком длинных паролей. Начиная с OpenSSH 7.3 запрещена передача паролей, длиннее 1024 символов;
    • Устранена уязвимость CVE-2016-6210, позволяющая на основе ответа сервера определить существует или нет пользователь в системе. Применявшийся для внесения задержки для несуществующих пользователей хэш BLOWFISH на слишком длинных паролях выполняется заметно дольше, чем применяемые для существующих пользователей хэши SHA256/SHA512, что позволяет по времени выполнения операции определить факт существования проверяемого логина в системе;
    • Устранены различия во времени формирования добавочного заполнения (padding oracle) в шифрах CBC (отключен по умолчанию);
    • Устранены проблемы с порядком проверки MAC для алгоритмов Encrypt-then-MAC (EtM) - MAC теперь всегда проверяется до расшифровки блоков. Разница в порядке проверки могла применяться для оценки параметров расшифрованных данных на основе времени их расшифровки;
    • В переносимой версии sshd теперь игнорируются переменные окружения PAM при наличии настройки UseLogin=yes, что блокирует возможности атаки на /bin/login через подстановку переменной окружения LD_PRELOAD через PAM (уязвимость CVE-2015-8325);


  1. Главная ссылка к новости (http://lists.mindrot.org/piper...)
  2. OpenNews: Обход защиты OpenSSH, препятствующей определению наличия пользователя
  3. OpenNews: Разработчики OpenSSH опубликовали план прекращения поддержки протокола SSHv1
  4. OpenNews: Обновление OpenSSH 7.2p2 с устранением уязвимости в режиме X11Forwarding
  5. OpenNews: Выпуск OpenSSH 7.2
  6. OpenNews: В OpenSSH устранена критическая уязвимость
Лицензия: CC-BY
Тип: Программы
Ключевые слова: openssh
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, h31 (ok), 22:54, 01/08/2016 [ответить] [показать ветку] [···]    [к модератору]
  • +3 +/
    > Для клиента ssh реализована настройка ProxyJump и опция командной строки "-J", позволяющая упростить настройку проброса через один или несколько промежуточных SSH-хостов;

    Я джва года этого ждал.

     
     
  • 2.4, gre (?), 00:44, 02/08/2016 [^] [ответить]    [к модератору]
  • +/
    А что не так?
     
  • 2.8, John (??), 09:56, 02/08/2016 [^] [ответить]    [к модератору]
  • +2 +/
    Раньше тоже можно было сделать себе удобно (в т.ч. цепочки) через ProxyCommand в файле ~/.ssh/config
     
     
  • 3.11, h31 (ok), 11:40, 02/08/2016 [^] [ответить]    [к модератору]
  • +/
    Тут ещё фишка в том, что цепочки можно сделать чисто через аргументы, без редактирования конфига.
     
  • 1.2, Ilya Indigo (ok), 00:02, 02/08/2016 [ответить] [показать ветку] [···]    [к модератору]
  • –1 +/
    Прямо праздник какой-то.
    Сегодня, наконец-то, в openSUSE обновили openssh с 6.6 на 7.2.
    Подумал, не ужели у меня, наконец-то, будет свежий openssh, но не тут-то было.
     
     
  • 2.7, Аноним (-), 09:18, 02/08/2016 [^] [ответить]    [к модератору]  
  • +/
    В тамблвид что-ли? В 42.1 все так же 6.6.
     
     
  • 3.12, Ilya Indigo (ok), 12:36, 02/08/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    > В тамблвид что-ли? В 42.1 все так же 6.6.

    Ага, причём после обновления, клиенты не хотели соединятся с серверами из-за 2-ух устарелых строчек в конфиге связанных с GSSAPI, пока не удалил их из конфига.
    Хорошо, что только клиент, исправил локально, соединился с сервером, исправил удалённо.
    Но вот если на сервере такое случится, а "Protocol 2" и там и там.
    Самое разумное будет в версии 7.3 убедится, что в openSUSE собрали без этого рудимента, и убрать эту строку из конфига, но теперь чёрт его знает, когда openSUSE вздумается его снова обновить.

     
     
  • 4.19, KM (?), 01:34, 04/08/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    В репозитории network есть 7.2. Не обязательно сетовать на tmblwd.
     
     
  • 5.20, Ilya Indigo (ok), 01:48, 04/08/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    > В репозитории network есть 7.2. Не обязательно сетовать на tmblwd.

    Спасибо, накушался я на номерных версиях, на каждое нужное приложение более свежей версии чем в Oss, причём не факт что актуальной, добавлять свой репозиторий.

     
     
  • 6.22, KM (?), 10:03, 04/08/2016 [^] [ответить]    [к модератору]  
  • +/
    Ну, тогда rpm -ivh из внешних rpm. Т.е. проблемы, как таковой, нет. Но да, приятней было бы не подключать 100500 репозиториев для более новых версий программ.
     
  • 1.3, Ilya Indigo (ok), 00:15, 02/08/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    > OpenSSH 7.4 будет удалён код, связанный с использованием SSHv1 на стороне сервера, а летом 2017 года планируют удалить код клиентской части SSHv1.

    А сервер и клиент со строчкой в конфиге "Protocol 2" окажутся неработоспособными?

     
     
  • 2.6, eRIC (ok), 08:04, 02/08/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    > А сервер и клиент со строчкой в конфиге "Protocol 2" окажутся неработоспособными?

    нет, ведь SSHv2 остается. удалится все *но связанное с SSHv1


     
     
  • 3.21, Ilya Indigo (ok), 01:50, 04/08/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    >> А сервер и клиент со строчкой в конфиге "Protocol 2" окажутся неработоспособными?
    > нет, ведь SSHv2 остается. удалится все *но связанное с SSHv1

    Но ведь и эта опция станет бессмысленной, которую могут удалить, и с которой я опять буду лицезреть "Connection reset by peer".
    Хорошо, действительно, если не придётся.

     
  • 2.14, Аноним (-), 14:20, 02/08/2016 [^] [ответить]    [к модератору]  
  • +/
    Как можно было вообще к такому выводу прийти?
     
     
  • 3.15, Ilya Indigo (ok), 14:48, 02/08/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    > Как можно было вообще к такому выводу прийти?

    Во-первых, это был вопрос!
    Во-вторых, на основании печального опыта неработоспособности клиента после обновления, когда в новой версии сделали устарелыми некоторые строки конфигурации.

     
  • 1.5, Аноним (-), 01:28, 02/08/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    > В файл конфигурации ssh_config добавлена директива Include, позволяющая включать содержимое других файлов;

    Не прошло и 20 лет, как запилили

     
     
  • 2.10, Аноним (-), 11:19, 02/08/2016 [^] [ответить]    [к модератору]  
  • +/
    Лучше RegExp в условии с хостом для подмены ключей по маске одним шаблоном (Amazon EC2)
     
     
  • 3.16, Аноним (-), 15:44, 02/08/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Бред. Генерируйте файл, или используйте более продвинутые инструменты, типа nixops
     
     
  • 4.17, Аноним (-), 16:17, 02/08/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Оставьте свой DevOps при себе.
     
  • 1.9, Аноним (-), 11:06, 02/08/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    >  В файл конфигурации ssh_config добавлена директива Include, позволяющая включать содержимое других файлов;

    Это распространяется на sshd_config?

     
     
  • 2.13, Аноним (-), 13:58, 02/08/2016 [^] [ответить]    [к модератору]  
  • +2 +/
    Отвечаю сам себе — увы, нет. Грусть-печаль.
     
  • 1.18, Аноним (-), 21:24, 02/08/2016 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Может быть знающие люди пояснят, зачем использовать разные хеши Разве использов... весь текст скрыт [показать]
     
  • 1.23, Аноним (-), 23:24, 06/08/2016 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Проблем со сборкой на Solaris и AIX в 7 2 не было А в 7 3 они появились - и как... весь текст скрыт [показать]
     
     
  • 2.24, Аноним (-), 23:56, 06/08/2016 [^] [ответить]    [к модератору]  
  • +/
    Мамочки, скелет из музея палеонтологии разговаривает!
     
  • 2.25, Аноним (-), 03:39, 07/08/2016 [^] [ответить]    [к модератору]  
  • +/
    Вы там еще живы? держитесь денег нету!
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor