Вихід OpenSSH 10.3: оновлення з новими можливостями

Проект OpenSSH, який розробляється та підтримується в рамках OpenBSD, оголосив про випуск OpenSSH 10.3. Це оновлення було випущене в рамках підтримки та вже доступне для завантаження з офіційних дзеркал проекту.

Зміни в сумісності та нові функції OpenSSH 10.3

Цей реліз містить кілька потенційно несумісних змін. OpenSSH більше не підтримує старі реалізації, які не дозволяють повторне встановлення ключів; ці з’єднання тепер завершуються з помилкою, коли потрібне повторне встановлення ключа. Також сертифікати з порожніми принципами більше не розглядаються як шаблони.

Зміни також стосуються відповідності шаблонам у сертифікатах. Тепер шаблони послідовно підтримуються для сертифікатів хостів, але більше не приймаються для сертифікатів користувачів. Крім того, SSH-клієнт тепер перевіряє імена користувачів і хостів, що передаються через командний рядок для опцій ProxyJump (-J), що зменшує ризики ін’єкцій оболонки з неперевірених джерел.

Виправлення безпеки в OpenSSH 10.3

OpenSSH 10.3 також вирішує кілька проблем безпеки. Одна з уразливостей SSH може дозволити виконання команд у конфігураціях, де користувацький ввід розширюється через конфігураційні токени. Інша проблема sshd може призвести до неправильного узгодження принципів, коли сертифікати містять значення, розділені комами, за певних умов у authorized_keys.

Цей реліз також усуває давно існуючу проблему SCP, пов’язану з тим, що біти setuid і setgid не скидаються при завантаженні файлів як root у старому режимі. Додаткові виправлення покращують обробку алгоритмів для ключів ECDSA, гарантуючи, що приймаються лише явно налаштовані алгоритми.

Покращення функціональності і зручності використання

Що стосується нових функцій, OpenSSH тепер підтримує кодові точки, призначені IANA, для пересилання SSH-агента, що відповідає постійній стандартизації. Інструменти ssh-agent й ssh-add тепер підтримують запит розширень протоколу, включаючи нову опцію -Q у ssh-add.

Покращення зручності використання включають нові команди мультиплексування в SSH. Користувачі можуть запитувати деталі з’єднання за допомогою ssh -O conninfo і перевіряти активні канали, використовуючи ssh -O channels. Крім того, нова послідовність втечі (~I) надає подібну інформацію під час інтерактивних сесій.

Оптимізація конфігурації та управління ключами

На стороні конфігурації додано підтримку кількох файлів у директивах RevokedHostKeys та RevokedKeys. Також сервер sshd тепер містить «штраф за недійсного користувача» в PerSourcePenalties, що дозволяє адміністраторам управляти невдалими спробами входу для неіснуючих користувачів. Точність часу штрафів також покращена за рахунок використання чисел з плаваючою комою.

Нарешті, покращення в обробці ключів включають підтримку запису ключів ED25519 у форматі PKCS8 та розширену підтримку підписів FIDO/WebAuthn, яка тепер увімкнена за замовчуванням. Також було внесено вдосконалення продуктивності, особливо для алгоритму обміну ключами sntrup761.

Для отримання більш детальної інформації ознайомтеся з журналом змін.