forum.opennet.ru

Составление сообщения

Исходное сообщение

"Релиз OpenSSH 7.5"
Отправлено opennews, 20-Мрт-17 22:13

Сформирован (http://lists.mindrot.org/pipermail/openssh-unix-dev/2017-Mar...) релиз OpenSSH 7.5 (http://www.openssh.com/), открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. В OpenSSH также временно оставлена поддержка протоколов SSH 1.3 и 1.5 на стороне клиента (серверная часть уже удалена), которая требует сборки со специальной опцией. Летом 2017 года планируется полностью прекратить поддержку SSHv1 и удалить компоненты с реализаций шифров Blowfish и RC4, а также RIPE-MD160 HMAC, которые в настоящее время по умолчанию отключены в настройках. В будущих выпусках также планируют запретить использование RSA-ключей размером менее 1024 бит и  отключить по умолчанию поддержку шифров CBC на стороне SSH-клиента (в сервере CBC был отключен  несколько лет назад).
В новой версии устранены накопившиеся ошибки и внесено несколько изменений, в основном связанных с удалением устаревших возможностей:

-  Внесена дополнительная защита для блокирования атак, манипулирующих различиями при формировании добавочного заполнения (padding oracle) в шифрах CBC (на стороне клиента CBC уже давно отключен по умолчанию, а на стороне сервера запланирован к удалению в следующем выпуске);
-  В утилите sftp-client устранена уязвимость, проявляющаяся при запуске в окружении Cygwin и позволяющая создать или изменить файлы за пределами целевой директории на стороне клиента при инициировании рекурсивной загрузки данных с сервера, подконтрольного атакующим;
-  В ssh и sshd добавлен оператор "=-", предназначенный для исключения методов из списков. Например, "Ciphers=-*cbc" исключит из списка допустимых шифров все алгоритмы с CBC;
-  Отключена возможность запуска OpenSSH без разделения привилегий. Опция UsePrivilegeSeparation объявлена устаревшей и режим разделения привилегий теперь не может быть отключен (по умолчанию данный режим активирован уже почти 15 лет);

-  Изменён формат некоторых сообщений в логе, информирующих о закрытии соединения, таймаутах, отсоединении удалённой стороны и некоторых фатальных ошибках. Для данных групп сообщений в лог теперь добавлены сведения о пользователе и состоянии аутентификации, что может потребовать модификации анализаторов логов и систем мониторинга. Например:

   Connection closed by user x 1.1.1.1 port 1234 [preauth]
   Connection closed by authenticating user x 10.1.1.1 port 1234 [preauth]
   Connection closed by invalid user x 1.1.1.1 port 1234 [preauth]
-  Прекращена поддержка версий библиотеки OpenSSL до ветки 1.0.1 (поддержка ветки 1.0.1 была прекращена проектом OpenSSL более года назад).
URL: http://lists.mindrot.org/pipermail/openssh-unix-dev/2017-Mar...
Новость: https://www.opennet.ru/opennews/art.shtml?num=46228

Исходное сообщение
"Релиз OpenSSH 7.5" Отправлено opennews, 20-Мрт-17 22:13
Сформирован (http://lists.mindrot.org/pipermail/openssh-unix-dev/2017-Mar...) релиз OpenSSH 7.5 (http://www.openssh.com/), открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. В OpenSSH также временно оставлена поддержка протоколов SSH 1.3 и 1.5 на стороне клиента (серверная часть уже удалена), которая требует сборки со специальной опцией. Летом 2017 года планируется полностью прекратить поддержку SSHv1 и удалить компоненты с реализаций шифров Blowfish и RC4, а также RIPE-MD160 HMAC, которые в настоящее время по умолчанию отключены в настройках. В будущих выпусках также планируют запретить использование RSA-ключей размером менее 1024 бит и отключить по умолчанию поддержку шифров CBC на стороне SSH-клиента (в сервере CBC был отключен несколько лет назад). В новой версии устранены накопившиеся ошибки и внесено несколько изменений, в основном связанных с удалением устаревших возможностей: - Внесена дополнительная защита для блокирования атак, манипулирующих различиями при формировании добавочного заполнения (padding oracle) в шифрах CBC (на стороне клиента CBC уже давно отключен по умолчанию, а на стороне сервера запланирован к удалению в следующем выпуске); - В утилите sftp-client устранена уязвимость, проявляющаяся при запуске в окружении Cygwin и позволяющая создать или изменить файлы за пределами целевой директории на стороне клиента при инициировании рекурсивной загрузки данных с сервера, подконтрольного атакующим; - В ssh и sshd добавлен оператор "=-", предназначенный для исключения методов из списков. Например, "Ciphers=-*cbc" исключит из списка допустимых шифров все алгоритмы с CBC; - Отключена возможность запуска OpenSSH без разделения привилегий. Опция UsePrivilegeSeparation объявлена устаревшей и режим разделения привилегий теперь не может быть отключен (по умолчанию данный режим активирован уже почти 15 лет); - Изменён формат некоторых сообщений в логе, информирующих о закрытии соединения, таймаутах, отсоединении удалённой стороны и некоторых фатальных ошибках. Для данных групп сообщений в лог теперь добавлены сведения о пользователе и состоянии аутентификации, что может потребовать модификации анализаторов логов и систем мониторинга. Например: Connection closed by user x 1.1.1.1 port 1234 [preauth] Connection closed by authenticating user x 10.1.1.1 port 1234 [preauth] Connection closed by invalid user x 1.1.1.1 port 1234 [preauth] - Прекращена поддержка версий библиотеки OpenSSL до ветки 1.0.1 (поддержка ветки 1.0.1 была прекращена проектом OpenSSL более года назад). URL: http://lists.mindrot.org/pipermail/openssh-unix-dev/2017-Mar... Новость: https://www.opennet.ru/opennews/art.shtml?num=46228

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Сформирован (http://lists.mindrot.org/pipermail/openssh-unix-dev/2017-March/035876.html) 
> релиз OpenSSH 7.5 (http://www.openssh.com/), открытой реализации клиента и сервера для 
> работы по протоколам SSH 2.0 и SFTP. В OpenSSH также временно 
> оставлена поддержка протоколов SSH 1.3 и 1.5 на стороне клиента (серверная 
> часть уже удалена), которая требует сборки со специальной опцией. Летом 2017 
> года планируется полностью прекратить поддержку SSHv1 и удалить компоненты с реализаций 
> шифров Blowfish и RC4, а также RIPE-MD160 HMAC, которые в настоящее 
> время по умолчанию отключены в настройках. В будущих выпусках также планируют 
> запретить использование RSA-ключей размером менее 1024 бит и  отключить по 
> умолчанию поддержку шифров CBC на стороне SSH-клиента (в сервере CBC был 
> отключен  несколько лет назад).

> В новой версии устранены накопившиеся ошибки и внесено несколько изменений, в основном 
> связанных с удалением устаревших возможностей:

> -  Внесена дополнительная защита для блокирования атак, манипулирующих различиями при формировании 
> добавочного заполнения (padding oracle) в шифрах CBC (на стороне клиента CBC 
> уже давно отключен по умолчанию, а на стороне сервера запланирован к 
> удалению в следующем выпуске);

> -  В утилите sftp-client устранена уязвимость, проявляющаяся при запуске в окружении 
> Cygwin и позволяющая создать или изменить файлы за пределами целевой директории 
> на стороне клиента при инициировании рекурсивной загрузки данных с сервера, подконтрольного 
> атакующим;

> -  В ssh и sshd добавлен оператор "=-", предназначенный для исключения 
> методов из списков. Например, "Ciphers=-*cbc" исключит из списка допустимых шифров все 
> алгоритмы с CBC;

> -  Отключена возможность запуска OpenSSH без разделения привилегий. Опция UsePrivilegeSeparation 
> объявлена устаревшей и режим разделения привилегий теперь не может быть отключен 
> (по умолчанию данный режим активирован уже почти 15 лет);

> -  Изменён формат некоторых сообщений в логе, информирующих о закрытии соединения, 
> таймаутах, отсоединении удалённой стороны и некоторых фатальных ошибках. Для данных групп 
> сообщений в лог теперь добавлены сведения о пользователе и состоянии аутентификации, 
> что может потребовать модификации анализаторов логов и систем мониторинга. Например:

>    Connection closed by user x 1.1.1.1 port 1234 [preauth] 
 
>    Connection closed by authenticating user x 10.1.1.1 port 1234 
> [preauth] 
>    Connection closed by invalid user x 1.1.1.1 port 1234 
> [preauth]

> -  Прекращена поддержка версий библиотеки OpenSSL до ветки 1.0.1 (поддержка ветки 
> 1.0.1 была прекращена проектом OpenSSL более года назад).

> URL: http://lists.mindrot.org/pipermail/openssh-unix-dev/2017-March/035876.html 
 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=46228

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру