Выпущен OpenSSH версии 8.0

Пакет OpenSSH, полная реализация протокола SSH 2.0, который включает в себя клиент и сервер sftp, достигает версии 8.0.

Релиз в основном исправляет уязвимость (CVE-2019-6111) в протоколе scp, которая:

при копировании файлов из удаленной системы в локальный каталог scp (1) не проверял, совпадают ли имена файлов, отправленные сервером, с именами, запрошенными клиентом. Это может позволить враждебному серверу создавать или забивать неожиданные локальные файлы контентом, контролируемым злоумышленником.

В этом выпуске добавлена проверка на стороне клиента, что имена файлов, отправленные с сервера, соответствуют запросу командной строки.

Раньше рекомендовали не использовать протокол scp, поскольку он старый и глючный, и вместо этого используйте sftp. Тем не менее, этот выпуск предоставляет исправление для тех хардкорных пользователей scp, которые, например, жаловались, что использование scp в сценариях намного проще, чем использование sftp .

Среди улучшений наиболее важными являются поддержка ключей ECDSA в токенах PKCS # 11 и то, что сгенерированный размер ключей RSA теперь по умолчанию равен 3072 битам.

Конечно, есть также несколько исправлений ошибок, таких как:

Избегайте отправки SIGPIPE дочерним процессам, если они пытаются записать в stderr после того, как их родительские процессы завершили работу.

Очистите имена файлов scp, чтобы разрешить символы UTF-8 без управляющих последовательностей терминала

В новом выпуске также исправлен ряд утечек памяти. Полная информация и анонс здесь.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *