Max Home IndustryПакет OpenSSH, полная реализация протокола SSH 2.0, который включает в себя клиент и сервер sftp, достигает версии 8.0.
Релиз в основном исправляет уязвимость (CVE-2019-6111) в протоколе scp, которая:
при копировании файлов из удаленной системы в локальный каталог scp (1) не проверял, совпадают ли имена файлов, отправленные сервером, с именами, запрошенными клиентом. Это может позволить враждебному серверу создавать или забивать неожиданные локальные файлы контентом, контролируемым злоумышленником.
В этом выпуске добавлена проверка на стороне клиента, что имена файлов, отправленные с сервера, соответствуют запросу командной строки.
Раньше рекомендовали не использовать протокол scp, поскольку он старый и глючный, и вместо этого используйте sftp. Тем не менее, этот выпуск предоставляет исправление для тех хардкорных пользователей scp, которые, например, жаловались, что использование scp в сценариях намного проще, чем использование sftp .
Среди улучшений наиболее важными являются поддержка ключей ECDSA в токенах PKCS # 11 и то, что сгенерированный размер ключей RSA теперь по умолчанию равен 3072 битам.
Конечно, есть также несколько исправлений ошибок, таких как:
Избегайте отправки SIGPIPE дочерним процессам, если они пытаются записать в stderr после того, как их родительские процессы завершили работу.
Очистите имена файлов scp, чтобы разрешить символы UTF-8 без управляющих последовательностей терминала
В новом выпуске также исправлен ряд утечек памяти. Полная информация и анонс здесь.