Portable OpenSSH

• Taşınabilir OpenSSH artık libress-taşınabilire karşı geliştirmeyi destekliyor.
• Taşınabilir OpenSSH artık openssl 0.9.8f veya daha büyük bir sürümü gerektiriyor. Eski sürümler artık desteklenmiyor.
• OpenSSL sürümü kontrolünde, düzeltilmiş sürüm yükseltmelerine izin verin (ancak not düşmez. Debian hatası # 748150.
• sshd (8): Cygwin'de, bir etki alanı hesabı olması gerekebileceğinden, çalışma zamanında ayrıcalık ayırma kullanıcısını belirleyin.
• sshd (8): Linux'ta vhangup kullanmayı denemeyin. Kök olmayan kullanıcılar için işe yaramıyor ve onlar için bu sadece tty ayarlarını karıştırıyor.
• Varsa, CLOCK_MONOTONIC tercih edildiğinde CLOCK_BOOTTIME değerini kullanın. Askıya alınan süreyi göz önünde bulundurarak, zaman aşımlarının (ör. Ajan anahtarlarının süresinin sona ermesi için) doğru bir şekilde ateşlenmesini sağlar. bz # 2228
• Ed25519 için opensshd.init init betiğine destek ekleyin.
• sftp-server (8): Destekleyen platformlarda, sftp sunucusunun / proc / self / {mem, maps}
öğesine erişmesini önlemek için prctl () öğesini kullanın.

Sürüm 6.5p1’de yeni: :

• Yeni özellikler:
• ssh (1), sshd (8): Daniel Bernstein'ın Curve25519'daki eliptik eğri Diffie Hellman'ı kullanarak anahtar değişimi için destek ekleyin. Bu anahtar değişim yöntemi, hem istemci hem de sunucu tarafından desteklendiğinde varsayılan değerdir.
• ssh (1), sshd (8): Ed25519 için ortak anahtar türü olarak destek ekleyin. Ed25519, ECDSA ve DSA'dan daha iyi güvenlik ve iyi performans sunan bir eliptik eğri imza şemasıdır. Hem kullanıcı hem de ana bilgisayar anahtarları için kullanılabilir.
• Dinleme sırasında tuşları daha iyi korumak için bcrypt KDF kullanan yeni bir özel anahtar biçimi ekleyin. Bu biçim, Ed25519 anahtarları için koşulsuz olarak kullanılır, ancak -o ssh-keygen (1) seçeneği ile diğer türlerdeki mevcut anahtarları oluştururken veya kaydederken istenebilir. Yakın gelecekte yeni formatı varsayılan yapmak istiyoruz. Yeni biçimin ayrıntıları PROTOCOL.key dosyasında.
• ssh (1), sshd (8): Yeni bir taşıma şifresi ekleyin "chacha20-poly1305@openssh.com" Bu, Daniel Bernstein'ın ChaCha20 akış şifrelerini ve Poly1305 MAC'yi kimliği doğrulanmış bir şifreleme modu oluşturmak için birleştiriyor. Ayrıntılar PROTOCOL.chacha20poly1305 dosyasında.
• ssh (1), sshd (8): Eski RSA + MD5 imza şemasını kullanan eski özel istemcilerden ve sunuculardan RSA anahtarlarını reddedin. Bu istemcilerle / sunucularla bağlantı kurmak yine de mümkün olacak, ancak sadece DSA anahtarları kabul edilecek ve OpenSSH, bağlantıyı gelecekteki bir sürümde tamamen reddedecektir.
• ssh (1), sshd (8): Eski anahtar istemcileri ve daha zayıf bir anahtar değişimi karma hesabı kullanan sunucuları reddedin.
• ssh (1): Her simetrik anahtar boyutu için istenen Diffie-Hellman gruplarının boyutunu artırın. RFC4419 tarafından belirtilen üst sınırla NIST Özel Yayını 800-57'den yeni değerler.
• ssh (1), ssh-agent (1): Yalnızca ortak halka açık anahtarlar yerine X.509 sertifikaları sağlayan pkcs # 11 tortularını destekler (bz # 1908 olarak talep edilir).
• ssh (1): Bir ssh_config (5) & quot; Eşleştir & quot; koşullu yapılandırmanın, ana makine adına, kullanıcıya ve rastgele komutların sonucuna göre eşleştirilerek uygulanmasına izin veren anahtar kelime.
• ssh (1): ssh_config (5) içindeki bir dizi DNS sonekleri ve kuralları kullanarak istemci tarafı ana makine adı kanonizasyonu için destek ekleyin. Bu, bilinmeyen adların bilinen_host'larda anahtarlara bakarken veya ana makine sertifikası adlarını kontrol ederken belirsizliği ortadan kaldırmak için tam etki alanı adlarına kurallı hale getirilmesine izin verir.
• sftp-server (8): sftp protokol isteklerini beyaz listeye ekleme ve / veya kara listeye alma isteklerini ekleyin.
• sftp-server (8): Bir sftp ekleyin "fsync@openssh.com" açık dosya tanıtıcısı üzerinde fsync (2) çağrısını desteklemek için.
• sshd (8): Tty ayırmasına izin vermemek için bir ssh_config (5) PermitTTY ekleyerek, uzun süreli yetkili olmayan_sayıcılar seçeneğini yansıtır.
• ssh (1): Bir bağlantı oluşturan ve sonra bağlı bir dosya tanıtıcısını ssh (1) 'e ileten ProxyCommands kullanımını destekleyen bir ssh_config ProxyUseFDPass seçeneği ekleyin. Bu, ProxyCommand'ın veri aktarımı yapmak için kalmamak yerine çıkmasına izin verir.
• Hata düzeltmeleri:
• ssh (1), sshd (8): Yuvalanmış sertifikalardan kaynaklanan potansiyel yığın bitkinliğini düzeltin.
• ssh (1): bz # 1211: BindAddress'i UsePrivilegedPort ile çalıştır.
• sftp (1): bz # 2137: sürdürülen aktarım için ilerleme ölçeri düzeltildi.
• ssh-add (1): bz # 2187: anahtarları ssh-agent'dan kaldırırken smartcard PIN kodu istemez.
• sshd (8): bz # 2139: orijinal sshd ikili çalıştırılamıyorsa yeniden çalıştırmayı düzeltin.
• ssh-keygen (1): Geçerli zamana göre göreceli olarak belirtilen sertifika geçerlilik sürelerini yapar ve geçerlilik başlangıç ​​saatini değil.
• sshd (8): bz # 2161: bir Match bloğu içinde AuthorizedKeysCommand'ı düzeltin.
• sftp (1): bz # 2129: bir dosyaya simetrik yapmak yanlış bir şekilde hedef yolunu kanonileştirir.
• ssh-agent (1): bz # 2175: PKCS # 11 aracı yardımcısı yürütülebilir dosyasında bir sonradan kullanmanın düzeltilmesi.
• sshd (8): Kullanıcı adı, uzak ana makine ve bağlantı noktası, oturum türü (kabuk, komut, vb.) ve ayrılan TTY (varsa) dahil olmak üzere oturumların günlüğe kaydedilmesini iyileştirin.
• sshd (8): bz # 1297: tercih edilen dinleme adresi sunucunun GatewayPorts ayarı tarafından geçersiz kılındığında istemciye (hata ayıklama iletisiyle) bilgi verin.
• sshd (8): bz # 2162: hatalı protokol banner mesajında ​​rapor bağlantı noktasını ekleyin.
• sftp (1): bz # 2163: do_readdir () içindeki hata yolunda bellek sızıntısını düzeltin.
• sftp (1): bz # 2171: hata durumunda dosya tanıtıcısını sızdırmaz.
• sshd (8): Yerel adres ve bağlantıyı & quot; Bağlantıdan ... & quot; mesaj (sadece loglevel & gt; = verbose'da gösterilir).
• Taşınabilir OpenSSH:
• Lütfen bunun, OpenSSL sürümlerini 0.9.6'dan önceki sürümlerini destekleyecek olan Portable OpenSSH'nin son sürümü olduğunu unutmayın. Destek (ör. SSH_OLD_EVP), 6.5p1 sürümünden sonra kaldırılacak.
• Taşınabilir OpenSSH, derhal gcc benzeri derleyiciler üzerinde Linux, OS X ve OpenBSD üzerinde Bağımsız Yürütülebilir bir Konum olarak derlemeye ve bağlantı kurmaya çalışacaktır. Diğer platformlar ve daha eski / diğer derleyiciler bunu --with-pie configure flag'ı kullanarak isteyebilir.
• Eğer var ise, bir dizi diğer toolchain ile ilgili sertleştirme seçeneği, -ftrapv'un imzalanmış tamsayı taşmasını iptal etmek ve dinamik bağlantı bilgilerini yazmaya karşı koruma seçenekleri dahil olmak üzere otomatik olarak kullanılır. Bu seçeneklerin kullanımı - sertleştirilmemiş yapılandırma bayrağı kullanılarak devre dışı bırakılabilir.
• Takım zinciri bunu destekliyorsa, yığın taşması temelli saldırıları azaltmak için korumaları eklemek amacıyla -fstack-koruyucusu-güçlü, -fstack-koruyucusu-all veya -fstack-koruyucusu derleme bayrağı kullanılır. Bu seçeneklerin kullanımı --without-stackprotect configure seçeneği kullanılarak devre dışı bırakılabilir.
• sshd (8): FreeBSD 10'da sunulan Capsicum API'yi kullanarak ön kimlik doğrulamalı korumalı alan için destek ekleyin.
• ChaCha20 tabanlı bir arc4random () PRNG'ye kendi başlarına sağlamayan platformlar için geçiş yapın.
• sshd (8): bz # 2156: yeniden başlatma sırasında davranışı sürdürmek için SIGHUP ile çalışırken Linux oom_adj ayarını geri yükleyin.
• sshd (8): bz # 2032: kullanıcı @ REALM biçiminde olabilecek tam istemci adı yerine krb5_kuserok denetiminde yerel kullanıcı adı kullanın.
• ssh (1), sshd (8): OpenSSL'de hem ECC NID numaralarının varlığını hem de gerçekten çalıştıklarını test edin. Fedora (en azından) çalışmayan NID_secp521r1 var.
• bz # 2173: libedit için doğru -L konumunu eklemek için pkg-config --libs komutunu kullanın.

Sürüm 6.4p1'de yeni :

• Bu sürüm bir güvenlik hatasını düzeltir: sshd (8) : AES-GCM şifresi seçildiğinde yeniden başlatma sırasında tetiklenen bir bellek bozulması sorununu düzeltin. Bu güvenlik açığının tüm ayrıntıları şu adreste bulunabilir: http://www.openssh.com/txt/gcmrekey.adv

Sürüm 6.3p1’de yeni: :

• Özellikler:
• sshd (8): ssh-agent (1) desteğini sshd (8) 'ye ekleyin; şifreli ana bilgisayarlara veya ana bilgisayarlara akıllı kartlarda izin verir.
• ssh (1) / sshd (8): Mevcut RekeyLimit seçeneğine ikinci bir argüman aracılığıyla isteğe bağlı zaman tabanlı yeniden anahtarlamaya izin verir. RekeyLimit artık sshd_config'de ve istemcide destekleniyor.
• sshd (8): kullanıcı kimlik doğrulaması sırasında bilgilerin günlüğe kaydedilmesini standartlaştır.
• Sunulan anahtar / sertifika ve uzak kullanıcı adı (varsa), şu anda yerel kullanıcı adı, uzak ana makine / bağlantı noktası ve kullanımdaki protokol ile aynı oturum açma hattındaki kimlik doğrulama başarısı / hatası mesajına kaydedilir. Sertifikaların içeriği ve imzalama CA'sının anahtar parmak izi de günlüğe kaydedilir.
• Tek bir satıra tüm ilgili bilgileri dahil etmek, birden çok günlük girdisi arasında dağınık olan bilgileri ilişkilendirmek için gerekli olmadığından, günlük analizini basitleştirir.
• ssh (1): binary'de hangi şifrelemelerin, MAC algoritmalarının, anahtar türlerinin ve anahtar değiştirme yöntemlerinin desteklendiğini sorgulama yeteneğini ekler.
• ssh (1): ProxyCommand desteği = - stdin ve stdout'un proxy'ye zaten işaret ettiği destek durumlarına izin vermek için.
• ssh (1): allow IdentityFile = none
• ssh (1) / sshd (8): hata ayıklama günlüklerini stderr veya syslog yerine belirli bir dosyaya eklemek için ssh ve sshd'ye -E seçeneği ekleyin.
• sftp (1): & quot; reget & quot; kullanarak kısmi indirmeye devam etmek için destek ekleyin. Komut satırında ve sftp komut satırında veya & quot; get & quot; & quot; -a & quot; (ekle) seçeneği.
• ssh (1): & quot; Yoksayılmamış & quot; bilinmeyen yapılandırma direktiflerinden kaynaklanan hataları seçici olarak bastırmak için yapılandırma seçeneği.
• sshd (8): AuthenticationMethods aracılığıyla listelenen gerekli kimlik doğrulama yöntemlerine eklenecek alt metrikler için destek ekleyin.
• Hata düzeltmeleri:
• sshd (8): CA anahtarından önce CA anahtarında farklı bir anahtarın anahtarı, yetkili anahtarlar içinde görünürse, sertifikayı kabul etmeyi reddet.
• ssh (1) / ssh-agent (1) / sshd (8): Zamanlayıcılar için tekdüze bir zaman kaynağı kullanın, böylece tutkular ve yeniden anahtarlama gibi şeyler saat adımları boyunca düzgün şekilde çalışacaktır.
• sftp (1): veri gönderildiğinde ilerleme durumu ölçer, gönderildiğinde değil. bz # 2108
• ssh (1) / ssh-keygen (1): mevcut kullanıcı / etc / passwd'de bulunmadığında hata mesajlarını iyileştirir; bz # 2125
• ssh (1): kısmi kimlik doğrulama başarısından sonra ortak anahtarların denendiği sırayı sıfırlayın.
• ssh-agent (1): hata ayıklama modundayken SIGINT'ten sonra soket dosyalarını temizler; bz # 2120
• ssh (1) ve diğerleri: bozuk sistem çözümleyici yapılandırmaları durumunda hata mesajlarını karıştırmamak; bz # 2122
• ssh (1): -N ile başlatılan bağlantılar için TCP düğümünü ayarlayın; bz # 2124
• ssh (1): ~ / .ssh / config üzerindeki izin gereksinimleri için doğru kılavuzu; bz # 2078
• ssh (1): TCP bağlantılarının askıya alındığı durumlarda ControlPersist zaman aşımını tetiklemez. bz # 1917
• ssh (1): bir ControlPersist masterını kontrol terminalinden düzgün bir şekilde atlatır.
• sftp (1): çok baytlı karakter desteği ile derlendiğinde, libedit'teki kilitlenmelerin önüne geçin. bz # 1990
• sshd (8): sshd -D'yi çalıştırırken, stderr'e açık bir şekilde oturum açma isteğinde bulunmadıkça stderr'i kapatın. bz # 1976,
• ssh (1): eksik bzero düzeltmek; bz # 2100
• sshd (8): ChrootDirectory belirtilmişse ve root ayrıcalıkları olmadan çalışıyorsa, günlük ve hata ile çıkın.
• Regresyon test takımında birçok iyileştirme. Özellikle günlük dosyaları artık hatalardan sonra ssh ve sshd'den kaydedilir.
• Bir dizi bellek sızıntısını düzeltin. bz # 1967 bz # 2096 ve diğerleri
• sshd (8): a: stili istenen kullanıcı adına eklendiğinde genel anahtar kimlik doğrulamasını düzeltin.
• ssh (1): Tamamen açılmamış çoğullama oluşturulmuş kanalları temizlemeye çalışırken ölümcül değildir. bz # 2079
• Taşınabilir OpenSSH:
• Katkıda bulunun / cygwin / README
'nin ana revizyonu
• Sıkı hizalama mimarileri için umac.c'de hizalanmamış girişleri düzeltin. bz # 2101
• Derleyici destekliyorsa -Wsizeof-pointer-memaccess'i etkinleştirin. bz # 2100
• Yanlış hatalı komut satırı raporlama hatalarını düzeltin. bz # 1448
• Libcrypto gerekli desteğe sahipse yalnızca SHA256 ve ECC tabanlı anahtar değiştirme yöntemlerini ekleyin.
• Katı hizalama mimarilerinde SOCKS5 dinamik yönlendirme kodunda kilitlenme düzeltildi.
• Android için bir dizi taşınabilirlik düzeltmesi: * Android'de lastlog kullanmaya çalışmayın; bz # 2111 * Yerel bir crypt () işlevine sahip olmayan plaketlerde openssl'ın DES_crypt işlevini kullanmaya geri dönün; bz # 2112 * Fd_mask, howmany ve NFDBITS için test, bunlara sahip olmayan plaformları sıralamak yerine test eder. bz # 2085 * S_IWRITE ile standart olmayan S_IWRITE değiştirin. bz # 2085 * Sahip olmayan platformlar için endgrent'in boş bir uygulamasını ekleyin (örneğin Android) bz # 2087 * Android gibi destek platformları, struct passwd.pw_gecos. bz # 2086