The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Релиз OpenSSH 7.3"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Релиз OpenSSH 7.3"  +/
Сообщение от opennews (ok) on 01-Авг-16, 22:54 
Состоялся (http://lists.mindrot.org/pipermail/openssh-unix-dev/2016-Aug...)  релиз OpenSSH 7.3 (http://www.openssh.com/), открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. Поддержка устаревших протоколов SSH 1.3 и 1.5 в OpenSSH 7.3 сохранена, но требует активации на этапе компиляции.  В OpenSSH 7.4 будет удалён (https://www.opennet.dev/opennews/art.shtml?num=44380) код, связанный с использованием SSHv1 на стороне сервера, а летом 2017 года планируют удалить код клиентской части SSHv1. В будущих выпусках также планируют запретить использование любых RSA-ключей, размером менее 1024 бит.

Изменения в OpenSSH 7.3:


-  В файл конфигурации ssh_config добавлена директива Include, позволяющая включать содержимое других файлов;
-  Для клиента ssh реализована настройка ProxyJump и опция командной строки "-J", позволяющая упростить настройку проброса через один или несколько промежуточных SSH-хостов;

-  В ssh добавлена настройка IdentityAgent, через которую можно указать произвольный сокет для ssh-agent, который будет использован вместо сокета, указанного через переменную окружения;

-  В ssh реализована возможность переопределения значений параметров ExitOnForwardFailure и ClearAllForwardings через их переустановку в командной строке при помощи "ssh -W";
-  В ssh и  sshd добавлена поддержка режима терминала IUTF8 (https://tools.ietf.org/html/draft-sgtatham-secsh-iutf8-01);
-  В ssh и  sshd добавлена поддержка дополнительных фиксированных групп Diffie-Hellman, размером 2K, 4K и 8K;
-  В ssh-keygen, ssh и sshd добавлена поддержка цифровых подписей на базе SHA256 и SHA512 в сертификатах RSA;
-  В ssh разрешено использовать символы UTF-8 в выводимом перед аутентификацией приглашении, поступающем от сервера;
-  В ssh и sshd обеспечено автоматическое отключение шифров, не поддерживаемых OpenSSL;
-  Решены проблемы со сборкой на платформах AIX и Solaris;
-  В sshd расширен список архитектур для которых активируется механизм фильтрации системных вызовов seccomp-bpf;

-  Устранено несколько уязвимостей:


-  Устранена потенциальная DoS-уязвимость в sshd, возникающая из-за слишком большого потребления ресурсов при обработке функцией crypt слишком длинных паролей. Начиная с OpenSSH 7.3 запрещена передача паролей, длиннее 1024 символов;

-  Устранена уязвимость CVE-2016-6210 (https://www.opennet.dev/opennews/art.shtml?num=44802),  позволяющая на основе ответа сервера определить существует или нет пользователь в системе. Применявшийся для внесения задержки для несуществующих пользователей хэш BLOWFISH на слишком длинных паролях выполняется заметно дольше, чем применяемые для существующих пользователей хэши SHA256/SHA512, что позволяет по времени выполнения операции определить факт существования проверяемого логина в системе;
-  Устранены различия во времени формирования добавочного заполнения (padding oracle) в шифрах CBC (отключен по умолчанию);

-  Устранены проблемы с порядком проверки MAC для алгоритмов Encrypt-then-MAC (EtM) - MAC теперь  всегда проверяется до расшифровки блоков. Разница в порядке проверки могла применяться для оценки параметров расшифрованных данных на основе времени их расшифровки;
-  В переносимой версии sshd теперь игнорируются переменные окружения PAM при наличии настройки UseLogin=yes, что блокирует возможности атаки на /bin/login через подстановку переменной окружения LD_PRELOAD через PAM (уязвимость CVE-2015-8325);


URL: http://lists.mindrot.org/pipermail/openssh-unix-dev/2016-Aug...
Новость: http://www.opennet.dev/opennews/art.shtml?num=44889

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Релиз OpenSSH 7.3"  +3 +/
Сообщение от h31 (ok) on 01-Авг-16, 22:54 
> Для клиента ssh реализована настройка ProxyJump и опция командной строки "-J", позволяющая упростить настройку проброса через один или несколько промежуточных SSH-хостов;

Я джва года этого ждал.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Релиз OpenSSH 7.3"  +/
Сообщение от gre on 02-Авг-16, 00:44 
А что не так?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

8. "Релиз OpenSSH 7.3"  +2 +/
Сообщение от John (??) on 02-Авг-16, 09:56 
Раньше тоже можно было сделать себе удобно (в т.ч. цепочки) через ProxyCommand в файле ~/.ssh/config
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

11. "Релиз OpenSSH 7.3"  +/
Сообщение от h31 (ok) on 02-Авг-16, 11:40 
Тут ещё фишка в том, что цепочки можно сделать чисто через аргументы, без редактирования конфига.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

2. "Релиз OpenSSH 7.3"  –1 +/
Сообщение от Ilya Indigo (ok) on 02-Авг-16, 00:02 
Прямо праздник какой-то.
Сегодня, наконец-то, в openSUSE обновили openssh с 6.6 на 7.2.
Подумал, не ужели у меня, наконец-то, будет свежий openssh, но не тут-то было.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Релиз OpenSSH 7.3"  +/
Сообщение от Аноним (??) on 02-Авг-16, 09:18 
В тамблвид что-ли? В 42.1 все так же 6.6.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

12. "Релиз OpenSSH 7.3"  –1 +/
Сообщение от Ilya Indigo (ok) on 02-Авг-16, 12:36 
> В тамблвид что-ли? В 42.1 все так же 6.6.

Ага, причём после обновления, клиенты не хотели соединятся с серверами из-за 2-ух устарелых строчек в конфиге связанных с GSSAPI, пока не удалил их из конфига.
Хорошо, что только клиент, исправил локально, соединился с сервером, исправил удалённо.
Но вот если на сервере такое случится, а "Protocol 2" и там и там.
Самое разумное будет в версии 7.3 убедится, что в openSUSE собрали без этого рудимента, и убрать эту строку из конфига, но теперь чёрт его знает, когда openSUSE вздумается его снова обновить.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

19. "Релиз OpenSSH 7.3"  +1 +/
Сообщение от KM on 04-Авг-16, 01:34 
В репозитории network есть 7.2. Не обязательно сетовать на tmblwd.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

20. "Релиз OpenSSH 7.3"  –1 +/
Сообщение от Ilya Indigo (ok) on 04-Авг-16, 01:48 
> В репозитории network есть 7.2. Не обязательно сетовать на tmblwd.

Спасибо, накушался я на номерных версиях, на каждое нужное приложение более свежей версии чем в Oss, причём не факт что актуальной, добавлять свой репозиторий.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

22. "Релиз OpenSSH 7.3"  +/
Сообщение от KM on 04-Авг-16, 10:03 
Ну, тогда rpm -ivh из внешних rpm. Т.е. проблемы, как таковой, нет. Но да, приятней было бы не подключать 100500 репозиториев для более новых версий программ.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

3. "Релиз OpenSSH 7.3"  –2 +/
Сообщение от Ilya Indigo (ok) on 02-Авг-16, 00:15 
> OpenSSH 7.4 будет удалён код, связанный с использованием SSHv1 на стороне сервера, а летом 2017 года планируют удалить код клиентской части SSHv1.

А сервер и клиент со строчкой в конфиге "Protocol 2" окажутся неработоспособными?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Релиз OpenSSH 7.3"  +1 +/
Сообщение от eRIC (ok) on 02-Авг-16, 08:04 
> А сервер и клиент со строчкой в конфиге "Protocol 2" окажутся неработоспособными?

нет, ведь SSHv2 остается. удалится все *но связанное с SSHv1


Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

21. "Релиз OpenSSH 7.3"  –1 +/
Сообщение от Ilya Indigo (ok) on 04-Авг-16, 01:50 
>> А сервер и клиент со строчкой в конфиге "Protocol 2" окажутся неработоспособными?
> нет, ведь SSHv2 остается. удалится все *но связанное с SSHv1

Но ведь и эта опция станет бессмысленной, которую могут удалить, и с которой я опять буду лицезреть "Connection reset by peer".
Хорошо, действительно, если не придётся.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

14. "Релиз OpenSSH 7.3"  +/
Сообщение от Аноним (??) on 02-Авг-16, 14:20 
Как можно было вообще к такому выводу прийти?
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

15. "Релиз OpenSSH 7.3"  –1 +/
Сообщение от Ilya Indigo (ok) on 02-Авг-16, 14:48 
> Как можно было вообще к такому выводу прийти?

Во-первых, это был вопрос!
Во-вторых, на основании печального опыта неработоспособности клиента после обновления, когда в новой версии сделали устарелыми некоторые строки конфигурации.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

5. "Релиз OpenSSH 7.3"  +4 +/
Сообщение от Аноним (??) on 02-Авг-16, 01:28 
> В файл конфигурации ssh_config добавлена директива Include, позволяющая включать содержимое других файлов;

Не прошло и 20 лет, как запилили

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Релиз OpenSSH 7.3"  +/
Сообщение от Аноним (??) on 02-Авг-16, 11:19 
Лучше RegExp в условии с хостом для подмены ключей по маске одним шаблоном (Amazon EC2)
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

16. "Релиз OpenSSH 7.3"  +1 +/
Сообщение от Аноним (??) on 02-Авг-16, 15:44 
Бред. Генерируйте файл, или используйте более продвинутые инструменты, типа nixops
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

17. "Релиз OpenSSH 7.3"  +1 +/
Сообщение от Аноним (??) on 02-Авг-16, 16:17 
Оставьте свой DevOps при себе.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

9. "Релиз OpenSSH 7.3"  +2 +/
Сообщение от Аноним (??) on 02-Авг-16, 11:06 
>  В файл конфигурации ssh_config добавлена директива Include, позволяющая включать содержимое других файлов;

Это распространяется на sshd_config?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Релиз OpenSSH 7.3"  +2 +/
Сообщение от Аноним (??) on 02-Авг-16, 13:58 
Отвечаю сам себе — увы, нет. Грусть-печаль.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

18. "Релиз OpenSSH 7.3"  +/
Сообщение от Аноним (??) on 02-Авг-16, 21:24 
>Применявшийся для внесения задержки для несуществующих пользователей хэш BLOWFISH на слишком длинных паролях выполняется заметно дольше, чем применяемые для существующих пользователей хэши SHA256/SHA512

Может быть знающие люди пояснят, зачем использовать разные хеши? Разве использование одинаковых (когда мы уже знаем о том, что пользователя нет) создаёт какую-то угрозу безопасности?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Релиз OpenSSH 7.3"  +/
Сообщение от Аноним (??) on 06-Авг-16, 23:24 
Проблем со сборкой на Solaris и AIX в 7.2 не было. А в 7.3 они появились - и какие! Без плясок с бубном 64 бита не собираются совсем. На том же самом железе, где 7.2 собирается со свистом. Убивать надо таких исправляльщиков!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Релиз OpenSSH 7.3"  +/
Сообщение от Аноним (??) on 06-Авг-16, 23:56 
Мамочки, скелет из музея палеонтологии разговаривает!
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

25. "Релиз OpenSSH 7.3"  +/
Сообщение от Аноним (??) on 07-Авг-16, 03:39 
Вы там еще живы? держитесь денег нету!
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру