Новости и события » Hi-Tech » Релиз OpenSSH 7.8

Релиз OpenSSH 7.8

После пяти месяцев разработки представлен релиз OpenSSH 7.8, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP.

Основные новшества:

  • В ssh-keygen осуществлен переход на использование по умолчанию формата OpenSSH для хранения закрытых ключей, вместо предлагаемого в OpenSSL формата PEM. Формат OpenSSH обеспечивает лучшую защиту от перебора паролей и поддерживает размещение комментариев в закрытых ключах. Для использования формата PEM теперь следует явно запускать ssh-keygen с опцией "-m PEM" при генерации или обновлении ключа;
  • В sshd удалена встроенная поддержка многофакторной аутентификации S/Key (для использования S/Key теперь следует использовать внешние реализации через PAM или BSD auth);
  • Код ssh почищен от компонентов для выполнения в режиме setuid. Попытка запуска ssh теперь приводит к выходу с выводом ошибки, если на исполняемый файл установлен флаг setuid или если uid не равен эффективному uid;
  • Изменена семантика опций PubkeyAcceptedKeyTypes и HostbasedAcceptedKeyTypes для sshd, в которых теперь нужно указывать и применямый для аутентификации алгоритм формирования цифровой подписи (например, "rsa-sha2-256" или "rsa-sha2-512");
  • Изменен приоритет обработки переменных окружения для sshd: ~/.ssh/environment и опции environment="..." в файлах authorized_keys теперь не переопределяют переменные окружения SSH_* явно заданные для sshd;
  • По умолчанию изменен IPQoS для ssh/sshd: для интерактивного трафика теперь применяется DSCP AF21, а для пакетных запросов CS1;
  • Представлены новые алгоритмы цифровых подписей "rsa-sha2-256-cert- v01@openssh.com" и "rsa-sha2-512-cert-v01@openssh.com", которые указывают на необходимость использования только RSA/SHA2 в ходе аутентификации;
  • Добавлена возможность явного определения списка разрешенных переменных окружения для sshd, задаваемого через опцию PermitUserEnvironment, которая ранее позволяла только в общем виде разрешить или запретить пользовательские переменные окружения;
  • В sshd_config добавлена новая директива PermitListen, а также аналогичная опция "permitlisten=" в authorized_keys, которые позволяют определить IP-адрес и порт для приема соединений при удаленном перенаправлении трафика (ssh -R);
  • Добавлена защита от атаки, позволяющей удаленному атакующему определить существует ли пользователь с данным именем в системе. Метод атаки базируется на разности поведения при обработке запроса на аутентификацию для существующего и неизвестного пользователя. Атакующий может отправить некорректный запрос аутентификации (например, отправить поврежденный пакет), в случае отсутствия пользователя в системе выполнение функции userauth_pubkey завершалось сразу с отправкой ответа SSH2_MSG_USERAUTH_FAILURE. Если пользователь присутствует в системе, происходил сбой при вызове функции sshpkt_get_u8 и сервер просто молча закрывал соединение. Для противодействия подобным атакам также добавлена случайная задержка в размере 5-9мс, добавляемая при любом сбое аутентификации;
  • Для sshd реализована новая директива SetEnv, позволяющая определять переменные окружения в файле sshd_config. Данные переменные имеют более высокий приоритет чем значения по умолчанию и переменные окружения, заданные пользователем;
  • В ssh добавлена директива SetEnv, при указании которой переменные окружения для сеанса выставляются на основании значений, переданных сервером;
  • Для очистки переменных окружения, ранее помеченных для отправки на сервер, добавлена команда "SendEnv -PATTERN";
  • В ssh/sshd обеспечена передача UID в виде %-выражений во всех директивах, манипулирующих именем пользователя;
  • В ssh добавлена возможность указания "ProxyJump=none" для отключения функциональности ProxyJump;
  • В sshd обеспечена передача в PAM-модули детальных сведений об успешно завершенной аутентификации через переменную окружения SSH_AUTH_INFO_0;
  • Улучшено определение неподдерживаемых опций компилятора;
  • В sshd добавлена поддержка режима sandbox-изоляции в Linux для архитектуры s390;
  • При сборке без OpenSSL для затравки генератора псевдослучайных чисел задействован вызов getrandom.

По материалам:  www.opennet.ru


В юности Бузову избивал бойфренд-уголовник

В юности Бузову избивал бойфренд-уголовник

Гостями передачи «Прямой эфир» были Ольга Бузова и ее мама, Ирина Александровна. О страшном прошлом рассказал отец Ольги. Мама Ольги Бузовой показала квартиру в Петербурге площадью в 100 кв. м, которую ей купила дочь, рассказала о бойфрендах дочери, подробнее ...

загрузка...

 

Вверх