The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

20.03.2017 21:07  Релиз OpenSSH 7.5

Сформирован релиз OpenSSH 7.5, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. В OpenSSH также временно оставлена поддержка протоколов SSH 1.3 и 1.5 на стороне клиента (серверная часть уже удалена), которая требует сборки со специальной опцией. Летом 2017 года планируется полностью прекратить поддержку SSHv1 и удалить компоненты с реализаций шифров Blowfish и RC4, а также RIPE-MD160 HMAC, которые в настоящее время по умолчанию отключены в настройках. В будущих выпусках также планируют запретить использование RSA-ключей размером менее 1024 бит и отключить по умолчанию поддержку шифров CBC на стороне SSH-клиента (в сервере CBC был отключен несколько лет назад).

В новой версии устранены накопившиеся ошибки и внесено несколько изменений, в основном связанных с удалением устаревших возможностей:

  • Внесена дополнительная защита для блокирования атак, манипулирующих различиями при формировании добавочного заполнения (padding oracle) в шифрах CBC (на стороне сервера CBC уже давно отключен по умолчанию и запланирован к удалению в следующем выпуске);
  • В утилите sftp-client устранена уязвимость, проявляющаяся при запуске в окружении Cygwin и позволяющая создать или изменить файлы за пределами целевой директории на стороне клиента при инициировании рекурсивной загрузки данных с сервера, подконтрольного атакующим;
  • В ssh и sshd добавлен оператор "=-", предназначенный для исключения методов из списков. Например, "Ciphers=-*cbc" исключит из списка допустимых шифров все алгоритмы с CBC;
  • Отключена возможность запуска OpenSSH без разделения привилегий. Опция UsePrivilegeSeparation объявлена устаревшей и режим разделения привилегий теперь не может быть отключен (по умолчанию данный режим активирован уже почти 15 лет);
  • Изменён формат некоторых сообщений в логе, информирующих о закрытии соединения, таймаутах, отсоединении удалённой стороны и некоторых фатальных ошибках. Для данных групп сообщений в лог теперь добавлены сведения о пользователе и состоянии аутентификации, что может потребовать модификации анализаторов логов и систем мониторинга. Например:
    
       Connection closed by user x 1.1.1.1 port 1234 [preauth]
       Connection closed by authenticating user x 10.1.1.1 port 1234 [preauth]
       Connection closed by invalid user x 1.1.1.1 port 1234 [preauth]
    
  • Прекращена поддержка версий библиотеки OpenSSL до ветки 1.0.1 (поддержка ветки 1.0.1 была прекращена проектом OpenSSL более года назад).


  1. Главная ссылка к новости (http://lists.mindrot.org/piper...)
  2. OpenNews: Релиз OpenSSH 7.4
  3. OpenNews: DoS-уязвимость в OpenSSH
  4. OpenNews: Релиз OpenSSH 7.3
  5. OpenNews: Обход защиты OpenSSH, препятствующей определению наличия пользователя
  6. OpenNews: Разработчики OpenSSH опубликовали план прекращения поддержки протокола SSHv1
Лицензия: CC-BY
Тип: Программы
Ключевые слова: openssh
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Римус, 22:13, 20/03/2017 [ответить] [смотреть все]
  • –4 +/
    Выпилили бы ещё поддержку DSA и ECDSA И теперь видимо вместо OpenSSL будут со с... весь текст скрыт [показать]
     
     
  • 2.2, Stax, 23:09, 20/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    Эээ, а чем вам ECDSA не угодил-то Или вы сравниваете поддержку SSHv1 - давно ни... весь текст скрыт [показать] [показать ветку]
     
  • 2.18, пох, 18:36, 21/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    portable - не будет, родная - да, для того и брали не переживайте, ее не надо о... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.21, Римус, 20:10, 22/03/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Вот на этом основываюсь когда переконфигурирую sshd_config:
    https://www.opennet.ru/tips/2877_ssh_crypt_setup_security_nsa.shtml
     
     
  • 4.24, пох, 13:35, 24/03/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > Вот на этом основываюсь когда переконфигурирую sshd_config:
    > https://www.opennet.ru/tips/2877_ssh_crypt_setup_security_nsa.shtml

    не надо без понимания на этом основываться. Если ты не собираешься повторять подвиг Гая Фокса (он, кстати, всех сдал, имей в виду), большая часть этих рекомендаций ненужная, а может и вредная.

    Если собираешься - потренируйся прыгать с табуреточки, пригодится, как ни шифруйся.

     
  • 3.22, Римус, 20:13, 22/03/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    > не переживайте, ее не надо обновлять - она радостно определяет версионный define
    > аж версии 2 (в смысле 2.x.x)

    В снапшотах висит образ с LibreSSL уже 2.5.2.
    А на системе, несмотря на все патчи стоит 2.4.2. И как обновится хотя бы до 2.4.5 я так и не понял.

     
     
  • 4.23, пох, 13:32, 24/03/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > В снапшотах висит образ с LibreSSL уже 2.5.2.

    там нет ничего хорошего, а вот поломанная совместимость есть, поэтому не надо бежать впереди паровоза.

    > А на системе, несмотря на все патчи стоит 2.4.2. И как обновится хотя бы до 2.4.5 я так и
    > не понял.

    только вместе с системой - не патчем, а переходом на следующую версию (можно stable). И это правильно. 2.4.2 там стоит не просто так, а патченная (предполагая что ты следишь за -security и делаешь что написано), апгрейдить ее на следующую minor совершенно незачем, и опять же может что-то сломаться, хотя и крайне маловероятно, но зачем рисковать (с позиции майнтейнера багфикснутой ветки дистрибутива).

    Но если хочется приключений - можешь просто вывалить более свежую версию в дерево поверх текущей. Она примерно так и разрабатывается.

     
  • 1.12, arka, 04:50, 21/03/2017 [ответить] [смотреть все]  
  • +/
    Вопрос тем, кто в курсе - почему выпиливается Blowfish, алгоритм был скомпрометирован или просто тупо в пользу AES?
     
     
  • 2.13, Аноним, 04:54, 21/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    More legacy cryptography functions remain planned for retirement in future relea... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.14, arka, 08:03, 21/03/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Спасибо
     
  • 3.15, Аноним, 11:19, 21/03/2017 [^] [ответить] [смотреть все]  
  • +/
    Что-то там так и не содержится ответа на вопрос _почему_ выпиливают Blowfish.
     
     
  • 4.16, Хорошо у нас в Аду, 13:03, 21/03/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Из за выпиливания SSH v1
     
  • 2.17, й, 15:10, 21/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    потому, что cbc
     
  • 1.19, Аноним, 22:33, 21/03/2017 [ответить] [смотреть все]  
  • +/
    Так где он, всё-таки, уже давно отключён, а где его только планируется отключить... весь текст скрыт [показать]
     
  • 1.20, Fantomas, 13:03, 22/03/2017 [ответить] [смотреть все]  
  • –3 +/
    > removing support for Blowfish and RC4

    Почему молчит RMS?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList