The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  правила/FAQ  поиск  регистрация  вход/выход  слежка  RSS
"Релиз OpenSSH 7.5"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Релиз OpenSSH 7.5"  +/
Сообщение от opennews on 20-Мрт-17, 22:13 
Сформирован (http://lists.mindrot.org/pipermail/openssh-unix-dev/2017-Mar...) релиз OpenSSH 7.5 (http://www.openssh.com/), открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. В OpenSSH также временно оставлена поддержка протоколов SSH 1.3 и 1.5 на стороне клиента (серверная часть уже удалена), которая требует сборки со специальной опцией. Летом 2017 года планируется полностью прекратить поддержку SSHv1 и удалить компоненты с реализаций шифров Blowfish и RC4, а также RIPE-MD160 HMAC, которые в настоящее время по умолчанию отключены в настройках. В будущих выпусках также планируют запретить использование RSA-ключей размером менее 1024 бит и  отключить по умолчанию поддержку шифров CBC на стороне SSH-клиента (в сервере CBC был отключен  несколько лет назад).

В новой версии устранены накопившиеся ошибки и внесено несколько изменений, в основном связанных с удалением устаревших возможностей:


-  Внесена дополнительная защита для блокирования атак, манипулирующих различиями при формировании добавочного заполнения (padding oracle) в шифрах CBC (на стороне клиента CBC уже давно отключен по умолчанию, а на стороне сервера запланирован к удалению в следующем выпуске);

-  В утилите sftp-client устранена уязвимость, проявляющаяся при запуске в окружении Cygwin и позволяющая создать или изменить файлы за пределами целевой директории на стороне клиента при инициировании рекурсивной загрузки данных с сервера, подконтрольного атакующим;

-  В ssh и sshd добавлен оператор "=-", предназначенный для исключения методов из списков. Например, "Ciphers=-*cbc" исключит из списка допустимых шифров все алгоритмы с CBC;

-  Отключена возможность запуска OpenSSH без разделения привилегий. Опция UsePrivilegeSeparation объявлена устаревшей и режим разделения привилегий теперь не может быть отключен (по умолчанию данный режим активирован уже почти 15 лет);


-  Изменён формат некоторых сообщений в логе, информирующих о закрытии соединения, таймаутах, отсоединении удалённой стороны и некоторых фатальных ошибках. Для данных групп сообщений в лог теперь добавлены сведения о пользователе и состоянии аутентификации, что может потребовать модификации анализаторов логов и систем мониторинга. Например:


   Connection closed by user x 1.1.1.1 port 1234 [preauth]
   Connection closed by authenticating user x 10.1.1.1 port 1234 [preauth]
   Connection closed by invalid user x 1.1.1.1 port 1234 [preauth]

-  Прекращена поддержка версий библиотеки OpenSSL до ветки 1.0.1 (поддержка ветки 1.0.1 была прекращена проектом OpenSSL более года назад).

URL: http://lists.mindrot.org/pipermail/openssh-unix-dev/2017-Mar...
Новость: http://www.opennet.dev/opennews/art.shtml?num=46228

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Релиз OpenSSH 7.5"  –4 +/
Сообщение от Римус email on 20-Мрт-17, 22:13 
Выпилили бы ещё поддержку DSA и ECDSA.
И теперь видимо вместо OpenSSL будут со своей LibreSSL всё связывать. А её что-то не так просто обновить в самом OpenBSD..
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Релиз OpenSSH 7.5"  +4 +/
Сообщение от Stax (ok) on 20-Мрт-17, 23:09 
> Выпилили бы ещё поддержку DSA и ECDSA.
> И теперь видимо вместо OpenSSL будут со своей LibreSSL всё связывать. А
> её что-то не так просто обновить в самом OpenBSD..

Эээ, а чем вам ECDSA не угодил-то? Или вы сравниваете поддержку SSHv1 - давно никому не нужного, с кучей дыр с актуальным стандартом без известных уязвимостей (проблемы были только в конкретных реализациях, но этим отличались все алгоритмы - https://en.wikipedia.org/wiki/Elliptic_Curve_Digital_Signatu... )

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

18. "Релиз OpenSSH 7.5"  +/
Сообщение от пох on 21-Мрт-17, 18:36 
> И теперь видимо вместо OpenSSL будут со своей LibreSSL всё связывать.

portable - не будет, родная - да, для того и брали.
> А её что-то не так просто обновить в самом OpenBSD..

не переживайте, ее не надо обновлять - она радостно определяет версионный define аж версии 2 (в смысле 2.x.x) - как раз недавно я вынужден был добавлять специальный патч ради обхода этой волчьей ямы (поскольку на деле там нет совместимости и с 1, во всяком случае, в нужной мне ветке)

А чем вам DSA не угодил? (ecdsa-то понятно, ибо кривые предоставлены NIST, и по поводу деятельности этой лавки есть обоснованные сомнения)

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

21. "Релиз OpenSSH 7.5"  –1 +/
Сообщение от Римус email on 22-Мрт-17, 20:10 
Вот на этом основываюсь когда переконфигурирую sshd_config:
https://www.opennet.dev/tips/2877_ssh_crypt_setup_security_ns...
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

24. "Релиз OpenSSH 7.5"  –1 +/
Сообщение от пох on 24-Мрт-17, 13:35 
> Вот на этом основываюсь когда переконфигурирую sshd_config:
> https://www.opennet.dev/tips/2877_ssh_crypt_setup_security_ns...

не надо без понимания на этом основываться. Если ты не собираешься повторять подвиг Гая Фокса (он, кстати, всех сдал, имей в виду), большая часть этих рекомендаций ненужная, а может и вредная.

Если собираешься - потренируйся прыгать с табуреточки, пригодится, как ни шифруйся.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

25. "Релиз OpenSSH 7.5"  –1 +/
Сообщение от Римус email on 24-Мрт-17, 17:34 
А что конкретно из данных рекомендаций вредно, и что ненужно?
Подвиг мне не нужен, только безопасность и надёжность.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

22. "Релиз OpenSSH 7.5"  –1 +/
Сообщение от Римус email on 22-Мрт-17, 20:13 
> не переживайте, ее не надо обновлять - она радостно определяет версионный define
> аж версии 2 (в смысле 2.x.x)

В снапшотах висит образ с LibreSSL уже 2.5.2.
А на системе, несмотря на все патчи стоит 2.4.2. И как обновится хотя бы до 2.4.5 я так и не понял.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

23. "Релиз OpenSSH 7.5"  –1 +/
Сообщение от пох on 24-Мрт-17, 13:32 
> В снапшотах висит образ с LibreSSL уже 2.5.2.

там нет ничего хорошего, а вот поломанная совместимость есть, поэтому не надо бежать впереди паровоза.

> А на системе, несмотря на все патчи стоит 2.4.2. И как обновится хотя бы до 2.4.5 я так и
> не понял.

только вместе с системой - не патчем, а переходом на следующую версию (можно stable). И это правильно. 2.4.2 там стоит не просто так, а патченная (предполагая что ты следишь за -security и делаешь что написано), апгрейдить ее на следующую minor совершенно незачем, и опять же может что-то сломаться, хотя и крайне маловероятно, но зачем рисковать (с позиции майнтейнера багфикснутой ветки дистрибутива).

Но если хочется приключений - можешь просто вывалить более свежую версию в дерево поверх текущей. Она примерно так и разрабатывается.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

26. "Релиз OpenSSH 7.5"  –1 +/
Сообщение от Римус email on 24-Мрт-17, 17:36 
> там нет ничего хорошего, а вот поломанная совместимость есть, поэтому не надо
> бежать впереди паровоза.
> 2.4.2 там стоит не просто так,
> а патченная (предполагая что ты следишь за -security и делаешь что
> написано), апгрейдить ее на следующую minor совершенно незачем

Спасибо за разьяснение!

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

27. "Релиз OpenSSH 7.5"  +/
Сообщение от Аноним (??) on 27-Мрт-17, 11:56 
> А чем вам DSA не угодил?

Плох ибо ограничение размера ключа. Уже вчера применять нельзя было.

> ecdsa-то понятно, ибо кривые предоставлены NIST, и по поводу деятельности этой лавки есть обоснованные сомнения

ECDSA - нереально крут! Он при 512-битном ключе обеспечивает стойкость как RSA с 16000битным ключём! Показатель надёжность/(процессорное время) - лучший!!!

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

12. "Релиз OpenSSH 7.5"  +/
Сообщение от arka (ok) on 21-Мрт-17, 04:50 
Вопрос тем, кто в курсе - почему выпиливается Blowfish, алгоритм был скомпрометирован или просто тупо в пользу AES?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Релиз OpenSSH 7.5"  –1 +/
Сообщение от Аноним (??) on 21-Мрт-17, 04:54 
More legacy cryptography functions remain planned for retirement in future releases including the dropping of remaining SSH v.1 protocol support, removing support for Blowfish and RC4 ciphers and RIPE-MD160 HMAC, and removing CBC ciphers from the default in the client. A future OpenSSH release will also refuse RSA keys smaller than 1024 bits.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Релиз OpenSSH 7.5"  –1 +/
Сообщение от arka (ok) on 21-Мрт-17, 08:03 
Спасибо
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Релиз OpenSSH 7.5"  +/
Сообщение от Аноним (??) on 21-Мрт-17, 11:19 
Что-то там так и не содержится ответа на вопрос _почему_ выпиливают Blowfish.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

16. "Релиз OpenSSH 7.5"  –1 +/
Сообщение от Хорошо у нас в Аду on 21-Мрт-17, 13:03 
Из за выпиливания SSH v1
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Релиз OpenSSH 7.5"  +1 +/
Сообщение от й on 21-Мрт-17, 15:10 
потому, что cbc
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

19. "Релиз OpenSSH 7.5"  +/
Сообщение от Аноним (??) on 21-Мрт-17, 22:33 
> и отключить по умолчанию поддержку шифров CBC на стороне SSH-клиента (в сервере CBC был отключен несколько лет назад).
> (на стороне клиента CBC уже давно отключен по умолчанию, а на стороне сервера запланирован к удалению в следующем выпуске)

Так где он, всё-таки, уже давно отключён, а где его только планируется отключить?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Релиз OpenSSH 7.5"  –3 +/
Сообщение от Fantomas (??) on 22-Мрт-17, 13:03 
> removing support for Blowfish and RC4

Почему молчит RMS?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру