OpenSSH 10.1: новая обработка DSCP, объявлено об устаревании SHA1 SSHFP

Проект OpenSSH, разрабатываемый и поддерживаемый под эгидой OpenBSD, объявил о выпуске OpenSSH 10.1 — широко распространённого набора безопасных инструментов для удалённого входа в систему и передачи файлов по зашифрованным соединениям. Теперь его можно скачать с официальных зеркал: https://www.openssh.com/ftp.html.

Ключевым изменением в этом выпуске является предстоящее прекращение поддержки DNS-записей SHA1 SSHFP, которые вскоре будут игнорироваться из-за уязвимостей в алгоритме SHA1. Отныне ssh-keygen -r будет генерировать только записи SSHFP на основе SHA256.

В OpenSSH 10.1 также появилось предупреждение о соглашениях о ключах, не соответствующих постквантовым требованиям, которое указывает на риск атак типа «сохранить сейчас, расшифровать позже» . Это поведение регулируется новой опцией WarnWeakCrypto, которая включена по умолчанию.

В этом выпуске также появилось небольшое исправление для системы безопасности. Оно предотвращает включение управляющих символов в имена пользователей, передаваемые через ненадёжные командные строки SSH или URI, что устраняет потенциальную проблему внедрения оболочки, когда ProxyCommand настроен на использование расширений имён пользователей.

В этой версии внесены значительные изменения в DSCP (IPQoS). Для интерактивного SSH-трафика по умолчанию используется класс ускоренной пересылки для уменьшения задержки, а для неинтерактивного трафика, например при передаче данных по SFTP, используется системное значение по умолчанию. Кроме того, устаревшие ключевые слова IPv4 ToS, такие как lowdelay, reliability, и throughput, теперь игнорируются и заменяются современными метками DSCP.

Что касается ssh-agent, то теперь он хранит свои сокеты в ~/.ssh/agent вместо /tmp, что повышает безопасность в системах с ограничениями. Кроме того, он автоматически очищает старые сокеты и может удалять сертификаты с истекшим сроком действия вскоре после истечения срока их действия.

Среди других заметных изменений — добавление поддержки ключей ed25519 в токенах PKCS#11, новая опция RefuseConnection в ssh_config, а также увеличение ограничения на размер конфигурации с 256 КБ до 4 МБ. В выпуске также исправлены задержки в работе с клиентами X, улучшена диагностика при загрузке ключей и устранены несколько утечек памяти.

Наконец, портативная сборка включает в себя незначительные исправления совместимости для Linux, macOS и BSD, а также новую утилиту askpass для GNOME 40+. Она также улучшает обработку PAM, песочницу seccomp и поддержку системных вызовов futex в 32-битных системах.

Для получения дополнительной информации см. журнал изменений: https://www.openssh.com/txt/release-10.1.

Редактор: AndreyEx