OpenSSH 10.1: новая обработка DSCP, объявлено об устаревании SHA1 SSHFP

Проект OpenSSH, разрабатываемый и поддерживаемый под эгидой OpenBSD, объявил о выпуске OpenSSH 10.1 — широко распространённого набора безопасных инструментов для удалённого входа в систему и передачи файлов по зашифрованным соединениям. Теперь его можно скачать с официальных зеркал: https://www.openssh.com/ftp.html.
Ключевым изменением в этом выпуске является предстоящее прекращение поддержки DNS-записей SHA1 SSHFP, которые вскоре будут игнорироваться из-за уязвимостей в алгоритме SHA1. Отныне ssh-keygen -r
будет генерировать только записи SSHFP на основе SHA256.
В OpenSSH 10.1 также появилось предупреждение о соглашениях о ключах, не соответствующих постквантовым требованиям, которое указывает на риск атак типа «сохранить сейчас, расшифровать позже» . Это поведение регулируется новой опцией WarnWeakCrypto
, которая включена по умолчанию.
В этом выпуске также появилось небольшое исправление для системы безопасности. Оно предотвращает включение управляющих символов в имена пользователей, передаваемые через ненадёжные командные строки SSH или URI, что устраняет потенциальную проблему внедрения оболочки, когда ProxyCommand
настроен на использование расширений имён пользователей.
В этой версии внесены значительные изменения в DSCP (IPQoS). Для интерактивного SSH-трафика по умолчанию используется класс ускоренной пересылки для уменьшения задержки, а для неинтерактивного трафика, например при передаче данных по SFTP, используется системное значение по умолчанию. Кроме того, устаревшие ключевые слова IPv4 ToS, такие как lowdelay
, reliability
, и throughput
, теперь игнорируются и заменяются современными метками DSCP.
Что касается ssh-agent, то теперь он хранит свои сокеты в ~/.ssh/agent
вместо /tmp
, что повышает безопасность в системах с ограничениями. Кроме того, он автоматически очищает старые сокеты и может удалять сертификаты с истекшим сроком действия вскоре после истечения срока их действия.
Среди других заметных изменений — добавление поддержки ключей ed25519 в токенах PKCS#11, новая опция RefuseConnection
в ssh_config
, а также увеличение ограничения на размер конфигурации с 256 КБ до 4 МБ. В выпуске также исправлены задержки в работе с клиентами X, улучшена диагностика при загрузке ключей и устранены несколько утечек памяти.
Наконец, портативная сборка включает в себя незначительные исправления совместимости для Linux, macOS и BSD, а также новую утилиту askpass для GNOME 40+. Она также улучшает обработку PAM, песочницу seccomp и поддержку системных вызовов futex в 32-битных системах.
Для получения дополнительной информации см. журнал изменений: https://www.openssh.com/txt/release-10.1.
Редактор: AndreyEx