Релиз OpenSSH 7.5

Сформирован релиз OpenSSH 7.5, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. В OpenSSH также временно оставлена поддержка протоколов SSH 1.3 и 1.5 на стороне клиента (серверная часть уже удалена), которая требует сборки со специальной опцией. Летом 2017 года планируется полностью прекратить поддержку SSHv1 и удалить компоненты с реализаций шифров Blowfish и RC4, а также RIPE-MD160 HMAC, которые в настоящее время по умолчанию отключены в настройках. В будущих выпусках также планируют запретить использование RSA-ключей размером менее 1024 бит и отключить по умолчанию поддержку шифров CBC на стороне SSH-клиента (в сервере CBC был отключен несколько лет назад).

В новой версии в основном устранены накопившиеся ошибки и внесено несколько изменений, в основном связанных с удалением устаревших возможностей:

• Внесена дополнительная защита для блокирования атак, манипулирующих различиями при формировании добавочного заполнения (padding oracle) в шифрах CBC (на стороне клиента CBC уже давно отключен по умолчанию, а на стороне сервера запланирован к удалению в следующем выпуске);
• В утилите sftp-client устранена уязвимость, проявляющаяся при запуске в окружении Cygwin и позволяющая создать или изменить файлы за пределами целевой директории на стороне клиента при инициировании рекурсивной загрузки данных с сервера, подконтрольного атакующим;
• В ssh и sshd добавлен оператор "=-", предназначенный для исключения методов из списков. Например, "Ciphers=-*cbc" исключит из списка допустимых шифров все алгоритмы с CBC;
• Отключена возможность запуска OpenSSH без разделения привилегий. Опция UsePrivilegeSeparation объявлена устаревшей и режим разделения привилегий теперь не может быть отключен (по умолчанию данный режим активирован уже почти 15 лет);
• Изменен формат некоторых сообщений в логе, информирующих о закрытии соединения, таймаутах, отсоединении удаленной стороны и некоторых фатальных ошибка. Для данных групп сообщений в лог теперь добавлены сведения о пользователе и состоянии аутентификации, что может потребовать модификации анализаторов логов и систем мониторинга. Например:
  
  Connection closed by user x 1.1.1.1 port 1234 [preauth] Connection closed by authenticating user x 10.1.1.1 port 1234 [preauth] Connection closed by invalid user x 1.1.1.1 port 1234 [preauth]
• Прекращена поддержка версий библиотеки OpenSSL до ветки 1.0.1 (поддержка ветки 1.0.1 была прекращена проектом OpenSSL более года назад).