The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Выпуск OpenSSH 7.2"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск OpenSSH 7.2"  +/
Сообщение от opennews on 29-Фев-16, 14:36 
Доступен (http://lists.mindrot.org/pipermail/openssh-unix-dev/2016-Feb...) релиз OpenSSH 7.2 (http://www.openssh.com/), открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP (временно оставлена поддержка устаревших протоколов SSH 1.3 и 1.5, но она требует активации на этапе компиляции).


В новой версии прекращена поддержка ряда возможностей, что может негативно отразиться на совместимости с существующими конфигурациями. В частности, по умолчанию отключены алгоритмы HMAC на основе MD5, шифры blowfish-cbc, cast128-cbc, все варианты arcfour и алиасы rijndael-cbc для AES. В следующем выпуске будет запрещено использование любых RSA-ключей, размером менее 1024 бит.


Изменения в OpenSSH 7.2:


-  На платформе Linux добавлена поддержка системного вызова getrandom(), появившегося в ядре 3.17 и являющегося аналогом системного вызова getentropy, присутствующего в OpenBSD. Getrandom предоставит надёжную защиту от атак, основанных на исчерпании доступных файловых дескрипторов, за счёт предоставления случайных чисел от системного PRNG даже в условиях отсутствия свободных файловых дескрипторов;
-  В Solaris  и  Illumos в реализациях  ssh, sftp-server, ssh-agent и  sshd задействованы специфичные для платформы механизмы гранулированного предоставления отдельных привилегий. В том числе задействованы pre-auth privsep  sandbox и эмуляция вызова pledge();


-  Обновлена спецификация пакета redhat/openssh.spec;

-  Добавлена возможность совместного указания сборочных опций "--without-ssl-engine" и "--without-openssl";

-  Обеспечена совместимость с sandbox-режимом в  BoringSSL;

-  В файлах Makefile для генерации ключей хоста задействован вызов "ssh-keygen -A";

-  Добавлена поддержка использования алгоритмов хэширования SHA-256/512 в цифровых подписях RSA, в соответствии со спецификациями draft-rsa-dsa-sha2-256-03.txt (https://tools.ietf.org/html/draft-rsa-dsa-sha2-256-03) и draft-ssh-ext-info-04.txt (https://tools.ietf.org/html/draft-ssh-ext-info-04);


-  В клиент ssh добавлена опция  AddKeysToAgent, управляющая передачей в ssh-agent закрытого ключа, используемого в процессе аутентификации. Опция может принимать значения   'yes', 'no', 'ask', и 'confirm' (по умолчанию 'no')

-  В sshd в директиву  authorized_keys  добавлена опция "restrict", которая охватывает все имеющиеся и реализованные в будущем  ограничения по использованию ключей (no-*-forwarding и т.п.). Кроме того, добавлены антиподы существующим ограничителям, например, кроме "no-pty" добавлен "pty", что позволяет определять список исключений после указания "restrict";

-  В ssh для директивы ssh_config представлена опция CertificateFile, позволяющая явно перечислить файлы с сертификатами;

-  В sshd добавлена возможность отключения запуска в фоновом режиме и использования chroot через указание значения none в директивах Foreground и ChrootDirectory (полезно для использования в блоках  Match для переопределения поведения по умолчанию в особых ситуациях);


-  В ssh-keygen добавлена возможность смены комментария к ключу во всех поддерживаемых форматах;
-  В ssh-keygen добавлена поддержка создания отпечатка при загрузке ключа через стандартный входной поток ("ssh-keygen -lf -") и возможность формирования отпечатков сразу для нескольких открытых ключей, перечисленных в файле ("ssh-keygen -lf ~/.ssh/authorized_keys");

-  В ssh-keygen при выполнении операции "ssh-keygen -L" добавлена возможность обработки нескольких сертификатов (по одному в строке) и их чтение из стандартного входного потока ("-f -");
-  В ssh-keyscan добавлен флаг "ssh-keyscan -c ...", позволяющий извлекать сертификаты вместо отдельных ключей;


-  В  ssh обеспечена нормализация заканчивающихся точкой доменных имён (например, 'cvs.openbsd.org.'): точка теперь удаляется перед выполнением операций сравнения в ssh_config;

-  Изменения, связанные с безопасностью:

-  Удалён код с реализацией недокументированной функции роуминга, который был отключен в версии 7.1p2 из-за обнаружения критической уязвимости (https://www.opennet.dev/opennews/art.shtml?num=43672);

-  В ssh запрещён переход из не заслуживающего доверия проброса X11  к перенаправлению на заслуживающий доверия сервер, в случае если  на X-сервере отключено расширение SECURITY;

-  В ssh и sshd до 2048 бит увеличен минимальный размер модуля для diffie-hellman-group-exchange;

-  В  sshd включено по умолчанию применение sandbox-изоляции на стадии до начала аутентификации (ранее, sandbox включался по умолчанию в sshd_config и действовал только для новых установок).


URL: http://lists.mindrot.org/pipermail/openssh-unix-dev/2016-Feb...
Новость: http://www.opennet.dev/opennews/art.shtml?num=43961

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


2. "Выпуск OpenSSH 7.2"  –1 +/
Сообщение от Ilya Indigo (ok) on 29-Фев-16, 14:40 
> Доступен релиз OpenSSH 7.2

А в openSUSE до сих пор 6.6p1 и, по всей видимости, обновлять они его на что-то свежее и не собираются. :-(

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Выпуск OpenSSH 7.2"  +2 +/
Сообщение от Анончик on 29-Фев-16, 15:08 
Ну, в него регулярно бэкпортируют патчи, связанные с безопасностью — а остальное тянуть в основной канал не предполагается полиси.
Так не только в SUSE принято, в Debian stable тоже 6.7p1 до сих пор: https://packages.debian.org/jessie/openssh-client

Более свежий (7.1p2) OpenSSL для SUSE можно взять из репозитория network: https://build.opensuse.org/package/show?project=network&pack...

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

8. "Выпуск OpenSSH 7.2"  +/
Сообщение от Ilya Indigo (ok) on 29-Фев-16, 15:23 
Ну в Debian-то понятно, у них политика такая. А в Debian testing, кстати, 7.1p2 и скоро обновится до сабжа.
Но в openSUSE Tumbleweed, в ролинговом дистрибутиве, каким боком такая практика?
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

23. "Выпуск OpenSSH 7.2"  +/
Сообщение от menangen on 01-Мрт-16, 00:52 
Илья, так ты смотри в репозитории network для Leap - там 7.1p2
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

24. "Выпуск OpenSSH 7.2"  –1 +/
Сообщение от Ilya Indigo (ok) on 01-Мрт-16, 01:03 
> Илья, так ты смотри в репозитории network для Leap - там 7.1p2

Про дополнительные репозитории я прекрасно знаю.
Когда был на 11.* 12.* 13.* Приходилось штук 20 держать дополнительных реп, что бы использовать условно свежее ПО, и умолчу о неминуемых последствиях этого, например при обновлении GCC на OBS.
Собственно по-этому и перешёл на Tumbleweed, думая, что теперь мне не понадобится весь этот зоопарк. А тут, Firefox и Chromium хочешь свежие? Подключая репы для каждого, в базовой репе обновления от недели до месяца ждать нужно. :-(
Postfix свежий хочешь, подключай, php7? mariadb 10.1? Подключай.
Ардуар хочешь, подключай Multimedia, из Oss шиш. Свежий openSSH теперь и Network пришлось подключить...
Называется ролинговый дистр. В Debian Testing и то пакеты свежее из коробки, наверно.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

26. "Выпуск OpenSSH 7.2"  +/
Сообщение от cmp (ok) on 01-Мрт-16, 02:58 
Спсибо. Давно хотел попробовать сусю, но вижу, что это пустая трата времени.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

27. "Выпуск OpenSSH 7.2"  +/
Сообщение от Аноним (??) on 01-Мрт-16, 09:27 
Переходи на арчег, там проще. Уж если ты с кучей репов и их зависимостей пердолился, то арчега тебе нечего бояться.:)
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

37. "Выпуск OpenSSH 7.2"  +/
Сообщение от Led (ok) on 01-Мрт-16, 22:31 
> Переходи на арчег

Вечерняя школа?

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

34. "Выпуск OpenSSH 7.2"  –1 +/
Сообщение от Игорь email(??) on 01-Мрт-16, 20:31 
Илья, а ты еще не сказал о самом главном - в SUSE без подключения сторонних реп и установки кодеков никакой мультимедийный контент не воспроизводится!
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

35. "Выпуск OpenSSH 7.2"  –1 +/
Сообщение от Ilya Indigo (ok) on 01-Мрт-16, 20:41 
> Илья, а ты еще не сказал о самом главном - в SUSE
> без подключения сторонних реп и установки кодеков никакой мультимедийный контент не
> воспроизводится!

Хуже. Я настолько уже привык, что после установки нужно, как минимум

sudo zypper ar -cf http://ftp.fau.de/packman/suse/openSUSE_Tumbleweed Packman && sudo zypper in smplayer-lang

Что начал думать, что во всех дистрах так же и что это абсолютно нормально, мол лицензия и все дела...
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

12. "Выпуск OpenSSH 7.2"  –4 +/
Сообщение от Аноним (??) on 29-Фев-16, 16:15 
Ребята, как в docker подменять время?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Выпуск OpenSSH 7.2"  +/
Сообщение от Аноним (??) on 29-Фев-16, 16:37 
никак? зачем тогда он нужен :(
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

39. "Выпуск OpenSSH 7.2"  +/
Сообщение от Аноним (??) on 06-Мрт-16, 01:49 
Таймзону меняй.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

13. "Выпуск OpenSSH 7.2"  +/
Сообщение от Forth email(ok) on 29-Фев-16, 16:18 
А за что blowfish-cbc запретили?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "Выпуск OpenSSH 7.2"  +/
Сообщение от arzeth (ok) on 01-Мрт-16, 01:46 
Ну в коммите они написали «old crypto», и в чейнджлоге «legacy». Шнайер (создал Blowfish в 1994 году) ещё в 2007 году удивлялся, что он ещё использовался где-то. Хоть и на Blowfish серьёзных атак нет, смысл его держать, если есть более совершенные Twofish (год 1998) и Threefish (год 2008), у которых косяки поисправляли?
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Выпуск OpenSSH 7.2"  –5 +/
Сообщение от Аноним (??) on 29-Фев-16, 16:43 
>В следующем выпуске будет запрещено использование любых RSA-ключей, размером менее 1024 бит.

То есть, они там лучше меня знают, какие ключи мне на моей машине использовать? Мило.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Выпуск OpenSSH 7.2"  +2 +/
Сообщение от Аноним (??) on 29-Фев-16, 18:02 
Всмысле, ты лучше знаешь как им делать?
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

28. "Выпуск OpenSSH 7.2"  –1 +/
Сообщение от Аноним (??) on 01-Мрт-16, 09:31 
Нет, я просто не люблю, когда решают за меня. Если вдруг мне захочется, чтобы какие-то дяди решали за меня, как мне будет лучше - вон, Эйпл с Мелкософтом есть.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

20. "Выпуск OpenSSH 7.2"  +4 +/
Сообщение от Kodesu (ok) on 29-Фев-16, 18:58 
Все правильно делают. Хочешь вы*бнуться - исходники у тебя есть, действуй.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

22. "Выпуск OpenSSH 7.2"  +/
Сообщение от Led (ok) on 29-Фев-16, 23:04 
> Хочешь вы*бнуться

Так он это и сделал.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

29. "Выпуск OpenSSH 7.2"  –1 +/
Сообщение от Аноним (??) on 01-Мрт-16, 09:34 
И то правда. Одна маленькая поправочка - мне хочется не "вы*бнуться", мне хочется чтобы все-таки я решал, как и что на моем компьютере делать. Ну, по крайней мере, пока он еще мой (или уже не?).
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

30. "Выпуск OpenSSH 7.2"  +/
Сообщение от Аноним (??) on 01-Мрт-16, 09:51 
Ваша претензия была бы понятна, если бы у вас не было реальной возможности контролировать ПО на своей машине. Но эта возможность у вас есть.

А то, что у разработчиков своё видение — с вашими хотелками никак не связано.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

40. "Выпуск OpenSSH 7.2"  +/
Сообщение от Аноним (??) on 06-Мрт-16, 01:50 
Блаженный?
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

38. "Выпуск OpenSSH 7.2"  +/
Сообщение от Led (ok) on 01-Мрт-16, 22:33 
> мне хочется не "вы*бнуться", мне хочется чтобы все-таки я решал

Подрастёшь - будешь "решать".

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

16. "Выпуск OpenSSH 7.2"  –1 +/
Сообщение от Аноним (??) on 29-Фев-16, 17:26 
> Добавлена возможность совместного указания сборочных опций "--without-ssl-engine" и "--without-openssl"

В чем разница? И надо ли передавать обе опции чтобы отключить совсем?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Выпуск OpenSSH 7.2"  +/
Сообщение от ALex_hha (ok) on 29-Фев-16, 19:26 
> А в openSUSE до сих пор 6.6p1 и, по всей видимости, обновлять они его на что-то свежее и не собираются. :-(

CentOS release 6.7 (Final)
OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013

Особо не мешает. Но если очень хочется, никто не мешает поднять вам на альтернативном порту нужную вам версию

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

31. "Выпуск OpenSSH 7.2"  –1 +/
Сообщение от эцсамое on 01-Мрт-16, 11:15 
> 5.3p1
> 1.0.1e-fips

а можно айпи посмотреть?

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

36. "Выпуск OpenSSH 7.2"  +/
Сообщение от ALex_hha (ok) on 01-Мрт-16, 22:24 
И что тебе даст ip? Вон у гугла до сих пор есть поддержка sslv3, много тебе это даст? :D
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру