Представлен (http://lists.mindrot.org/pipermail/openssh-unix-announce/201...) релиз OpenSSH 6.1 (http://www.openssh.com/), открытой реализации клиента и сервера для работы по протоколам SSH (1.3, 1.5 и 2.0) и SFTP.
Из наиболее заметных улучшений можно отметить:
- Включён по умолчанию sandbox-режим "UsePrivilegeSeparation=sandbox", использующий rlimit, systrace, secomp filter и другие подсистемы для более жесткой изоляции кода, работающего на стадии до начала аутентификации (pre-auth). Sandbox-режим позволяет воспрепятствовать выполнению системных вызовов к ядру и использованию сокетов, в дополнение к ранее практикуемым сбросу прав до непривилегированного пользователя и помещением процесса в chroot-окружение /var/empty. Таким образом, в случае проникновения через уязвимость в OpenSSH при использовании новой защиты злоумышленник не сможет эксплуатировать локальную уязвимость в ядре для повышения прав или провести атаку на другие хосты (создать сокет, запустить прокси и т.п.). Для Linux при возможности используется secomp filter, но если в ядре нет поддержки данной технологии применяется изоляция на основе rlimit;
- В ssh-keygen добавлены опции для указания начального номера строки и числа строк для обработки файла moduli по частям, в том числе для организации параллельной обработки различных частей файла moduli;
- В директиве Match добавлена поддержка проверки локального адреса и порта (LocalAddress и LocalPort), на которое было принято входящее соединение. Кроме того, через директиву Match теперь можно устанавливать AcceptEnv и {Allow,Deny}{Users,Groups};
- Добавлена поддержка DNS-записей SSHFP (RFC6594 (http://tools.ietf.org/html/rfc6594)) для проверки ключей типа ECDSA (Elliptic Curve Digital Signature Algorithm) через DNS. Например, "server.example.net IN SSHFP 3 1 ( c6...5 )";
- В ssh-keygen добавлена возможность преобразования ключей RSA1 в публичный PEM и PKCS8;
- В директиве PermitOpen из sshd_config добавлена поддержка указания аргумента "none" для блокирования всех запросов на перенаправление портов. Значение "none" также теперь допустимо для AuthorizedPrincipalsFile;
- В ssh-keyscan по умолчанию осуществляется поиск ключей ECDSA;
- В sshd_config добавлена опция "VersionAddendum", дающая возможность добавить произвольный текст к выводимой строке с номером версии.
URL: http://lists.mindrot.org/pipermail/openssh-unix-announce/201...
Новость: http://www.opennet.me/opennews/art.shtml?num=34692