Доступен (http://lists.mindrot.org/pipermail/openssh-unix-dev/2016-Feb...) релиз OpenSSH 7.2 (http://www.openssh.com/), открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP (временно оставлена поддержка устаревших протоколов SSH 1.3 и 1.5, но она требует активации на этапе компиляции).
В новой версии прекращена поддержка ряда возможностей, что может негативно отразиться на совместимости с существующими конфигурациями. В частности, по умолчанию отключены алгоритмы HMAC на основе MD5, шифры blowfish-cbc, cast128-cbc, все варианты arcfour и алиасы rijndael-cbc для AES. В следующем выпуске будет запрещено использование любых RSA-ключей, размером менее 1024 бит.
Изменения в OpenSSH 7.2:
- На платформе Linux добавлена поддержка системного вызова getrandom(), появившегося в ядре 3.17 и являющегося аналогом системного вызова getentropy, присутствующего в OpenBSD. Getrandom предоставит надёжную защиту от атак, основанных на исчерпании доступных файловых дескрипторов, за счёт предоставления случайных чисел от системного PRNG даже в условиях отсутствия свободных файловых дескрипторов;
- В Solaris и Illumos в реализациях ssh, sftp-server, ssh-agent и sshd задействованы специфичные для платформы механизмы гранулированного предоставления отдельных привилегий. В том числе задействованы pre-auth privsep sandbox и эмуляция вызова pledge();
- Обновлена спецификация пакета redhat/openssh.spec;- Добавлена возможность совместного указания сборочных опций "--without-ssl-engine" и "--without-openssl";
- Обеспечена совместимость с sandbox-режимом в BoringSSL;- В файлах Makefile для генерации ключей хоста задействован вызов "ssh-keygen -A";
- Добавлена поддержка использования алгоритмов хэширования SHA-256/512 в цифровых подписях RSA, в соответствии со спецификациями draft-rsa-dsa-sha2-256-03.txt (https://tools.ietf.org/html/draft-rsa-dsa-sha2-256-03) и draft-ssh-ext-info-04.txt (https://tools.ietf.org/html/draft-ssh-ext-info-04);
- В клиент ssh добавлена опция AddKeysToAgent, управляющая передачей в ssh-agent закрытого ключа, используемого в процессе аутентификации. Опция может принимать значения 'yes', 'no', 'ask', и 'confirm' (по умолчанию 'no')- В sshd в директиву authorized_keys добавлена опция "restrict", которая охватывает все имеющиеся и реализованные в будущем ограничения по использованию ключей (no-*-forwarding и т.п.). Кроме того, добавлены антиподы существующим ограничителям, например, кроме "no-pty" добавлен "pty", что позволяет определять список исключений после указания "restrict";
- В ssh для директивы ssh_config представлена опция CertificateFile, позволяющая явно перечислить файлы с сертификатами;
- В sshd добавлена возможность отключения запуска в фоновом режиме и использования chroot через указание значения none в директивах Foreground и ChrootDirectory (полезно для использования в блоках Match для переопределения поведения по умолчанию в особых ситуациях);
- В ssh-keygen добавлена возможность смены комментария к ключу во всех поддерживаемых форматах;
- В ssh-keygen добавлена поддержка создания отпечатка при загрузке ключа через стандартный входной поток ("ssh-keygen -lf -") и возможность формирования отпечатков сразу для нескольких открытых ключей, перечисленных в файле ("ssh-keygen -lf ~/.ssh/authorized_keys");- В ssh-keygen при выполнении операции "ssh-keygen -L" добавлена возможность обработки нескольких сертификатов (по одному в строке) и их чтение из стандартного входного потока ("-f -");
- В ssh-keyscan добавлен флаг "ssh-keyscan -c ...", позволяющий извлекать сертификаты вместо отдельных ключей;
- В ssh обеспечена нормализация заканчивающихся точкой доменных имён (например, 'cvs.openbsd.org.'): точка теперь удаляется перед выполнением операций сравнения в ssh_config;- Изменения, связанные с безопасностью:
- Удалён код с реализацией недокументированной функции роуминга, который был отключен в версии 7.1p2 из-за обнаружения критической уязвимости (https://www.opennet.me/opennews/art.shtml?num=43672);
- В ssh запрещён переход из не заслуживающего доверия проброса X11 к перенаправлению на заслуживающий доверия сервер, в случае если на X-сервере отключено расширение SECURITY;
- В ssh и sshd до 2048 бит увеличен минимальный размер модуля для diffie-hellman-group-exchange;
- В sshd включено по умолчанию применение sandbox-изоляции на стадии до начала аутентификации (ранее, sandbox включался по умолчанию в sshd_config и действовал только для новых установок).
URL: http://lists.mindrot.org/pipermail/openssh-unix-dev/2016-Feb...
Новость: http://www.opennet.me/opennews/art.shtml?num=43961
> Доступен релиз OpenSSH 7.2А в openSUSE до сих пор 6.6p1 и, по всей видимости, обновлять они его на что-то свежее и не собираются. :-(
Ну, в него регулярно бэкпортируют патчи, связанные с безопасностью — а остальное тянуть в основной канал не предполагается полиси.
Так не только в SUSE принято, в Debian stable тоже 6.7p1 до сих пор: https://packages.debian.org/jessie/openssh-clientБолее свежий (7.1p2) OpenSSL для SUSE можно взять из репозитория network: https://build.opensuse.org/package/show?project=network&pack...
Ну в Debian-то понятно, у них политика такая. А в Debian testing, кстати, 7.1p2 и скоро обновится до сабжа.
Но в openSUSE Tumbleweed, в ролинговом дистрибутиве, каким боком такая практика?
Илья, так ты смотри в репозитории network для Leap - там 7.1p2
> Илья, так ты смотри в репозитории network для Leap - там 7.1p2Про дополнительные репозитории я прекрасно знаю.
Когда был на 11.* 12.* 13.* Приходилось штук 20 держать дополнительных реп, что бы использовать условно свежее ПО, и умолчу о неминуемых последствиях этого, например при обновлении GCC на OBS.
Собственно по-этому и перешёл на Tumbleweed, думая, что теперь мне не понадобится весь этот зоопарк. А тут, Firefox и Chromium хочешь свежие? Подключая репы для каждого, в базовой репе обновления от недели до месяца ждать нужно. :-(
Postfix свежий хочешь, подключай, php7? mariadb 10.1? Подключай.
Ардуар хочешь, подключай Multimedia, из Oss шиш. Свежий openSSH теперь и Network пришлось подключить...
Называется ролинговый дистр. В Debian Testing и то пакеты свежее из коробки, наверно.
Спсибо. Давно хотел попробовать сусю, но вижу, что это пустая трата времени.
Переходи на арчег, там проще. Уж если ты с кучей репов и их зависимостей пердолился, то арчега тебе нечего бояться.:)
> Переходи на арчегВечерняя школа?
Илья, а ты еще не сказал о самом главном - в SUSE без подключения сторонних реп и установки кодеков никакой мультимедийный контент не воспроизводится!
> Илья, а ты еще не сказал о самом главном - в SUSE
> без подключения сторонних реп и установки кодеков никакой мультимедийный контент не
> воспроизводится!Хуже. Я настолько уже привык, что после установки нужно, как минимум
sudo zypper ar -cf http://ftp.fau.de/packman/suse/openSUSE_Tumbleweed Packman && sudo zypper in smplayer-lang
Что начал думать, что во всех дистрах так же и что это абсолютно нормально, мол лицензия и все дела...
Ребята, как в docker подменять время?
никак? зачем тогда он нужен :(
Таймзону меняй.
А за что blowfish-cbc запретили?
Ну в коммите они написали «old crypto», и в чейнджлоге «legacy». Шнайер (создал Blowfish в 1994 году) ещё в 2007 году удивлялся, что он ещё использовался где-то. Хоть и на Blowfish серьёзных атак нет, смысл его держать, если есть более совершенные Twofish (год 1998) и Threefish (год 2008), у которых косяки поисправляли?
>В следующем выпуске будет запрещено использование любых RSA-ключей, размером менее 1024 бит.То есть, они там лучше меня знают, какие ключи мне на моей машине использовать? Мило.
Всмысле, ты лучше знаешь как им делать?
Нет, я просто не люблю, когда решают за меня. Если вдруг мне захочется, чтобы какие-то дяди решали за меня, как мне будет лучше - вон, Эйпл с Мелкософтом есть.
Все правильно делают. Хочешь вы*бнуться - исходники у тебя есть, действуй.
> Хочешь вы*бнутьсяТак он это и сделал.
И то правда. Одна маленькая поправочка - мне хочется не "вы*бнуться", мне хочется чтобы все-таки я решал, как и что на моем компьютере делать. Ну, по крайней мере, пока он еще мой (или уже не?).
Ваша претензия была бы понятна, если бы у вас не было реальной возможности контролировать ПО на своей машине. Но эта возможность у вас есть.А то, что у разработчиков своё видение — с вашими хотелками никак не связано.
Блаженный?
> мне хочется не "вы*бнуться", мне хочется чтобы все-таки я решалПодрастёшь - будешь "решать".
> Добавлена возможность совместного указания сборочных опций "--without-ssl-engine" и "--without-openssl"В чем разница? И надо ли передавать обе опции чтобы отключить совсем?
> А в openSUSE до сих пор 6.6p1 и, по всей видимости, обновлять они его на что-то свежее и не собираются. :-(CentOS release 6.7 (Final)
OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013Особо не мешает. Но если очень хочется, никто не мешает поднять вам на альтернативном порту нужную вам версию
> 5.3p1
> 1.0.1e-fipsа можно айпи посмотреть?
И что тебе даст ip? Вон у гугла до сих пор есть поддержка sslv3, много тебе это даст? :D