OpenSSH 9.4 现已发布


OpenSSH 是 100% 完整的 SSH 协议 2.0 实现,且包括 sftp 客户端和服务器支持。

OpenSSH 9.4 现已发布,此版本修复了许多 bug 并添加了一些小功能。

可能不兼容的更改

  • 此版本删除了对旧版本 libcrypto 的支持。OpenSSH 现在需要 LibreSSL >= 3.1.0 或 OpenSSL >= 1.1.1。注意,这些版本已被其上游供应商弃用。

  • ssh-agent(1):PKCS#11 模块现在必须以完整路径指定。以前 dlopen(3) 可以在系统库目录中搜索它们。

新功能

  • ssh(1):允许通过 ssh -W 转发 Domain sockets。
  • ssh(1):向 ssh(1) 添加对 configuration tags 的支持。这添加了ssh_config(5) “Tag”指令和相应的“Match tag”谓词,可用于选择块配置类似于 pf.conf(5) 同名关键字的配置块。
  • ssh(1):添加“match localnetwork”谓词。这样就可以匹配可用网络接口的地址,并可根据网络位置改变有效的客户端配置。

  • ssh(1)、sshd(8)、ssh-keygen(1):KRL 扩展的基础设施支持。这定义了可选 KRL 扩展的 defines wire 格式,并实现新 submessages 的解析。目前还不支持实际的扩展。

  • sshd(8) : 现在 AuthorizedPrincipalsCommand 和 AuthorizedKeysCommand 接受两个额外的 % 扩展序列:%D 扩展为连接会话的路由域,%C 扩展为连接源和目的地的地址和端口号。

  • ssh-keygen(1) : 将用于为受密码保护的密钥文件生成对称加密密钥的 bcrypt KDF 的默认工作因子(轮数)提高 50%。

Bug 修复

  • ssh-agent(1):通过为每个加载的提供程序运行单独的 ssh-pkcs11-helpers,改进加载的 PKCS#11 模块之间的隔离。

  • ssh(1):make -f (fork after authentication) 在包括 ControlPersist 在内的多路复用连接中正常工作。

  • ssh(1):使 ConnectTimeout 应用于多路复用套接字,而不仅仅是网络连接。仅适用于网络连接。

  • ssh-agent(1) , ssh(1):通过在加载请求的模块之前检查其是否包含所需的符号,改进了对加载无效 PKCS#11 模块的防御。

  • sshd(8):在 sshd_config 中,当 AuthorizedKeysCommand 出现在 AuthorizedPrincipalsCommand 之前时,修正 AuthorizedPrincipalsCommand。自 OpenSSH 8.7 以来,在这种情况下 AuthorizedPrincipalsCommand 指令被错误地忽略了。

  • ALL:修复一些内存泄漏和 unreachable/harmless 的整数溢出。

  • ssh-agent(1)、ssh(1):不要截断从 PKCS#11 模块记录的字符串

  • sshd(8)、ssh(1):更好地验证 ssh_config 和 sshd_config 中的 CASignatureAlgorithms。以前,该指令可接受证书算法名称,但由于 OpenSSH 不支持 CA 链,这些名称在实际中无法使用。

  • ssh(1) : 使ssh -Q CASignatureAlgorithms仅列对 CA 签名有效的签名算法。算法。以前的行为是列出所有签名算法,包括证书算法。

  • ssh-keyscan(1):优雅地处理 rlimits 或最大打开文件数大于 INT_MAX 的系统

  • ssh-keygen(1):修复在多个密钥上运行 ssh-keygen -l 时不显示“no comment”的问题,其中一个密钥有注释,而后面的其他密钥没有。

  • scp(1)、sftp(1):调整 ftruncate() 逻辑以处理重新排序请求的服务器。以前,如果服务器对请求重新排序,那么生成的文件就会被错误地截断。

  • ssh(1):当 CanonicalizeHostname=yes 和 ProxyJump 明确设置为"none"时,不要错误地禁用主机名规范化。

  • scp(1):复制 local->remote 时,在打开与服务器的 SFTP 连接之前检查源文件是否存在。

可移植性

  • ALL:针对不同平台和配置组合的大量构建修复。

  • sshd(8):提供已弃用的 SELinux matchpathcon() 函数的替代程序。

  • ALL:放宽对 OpenSSL >=3 的 libcrypto 版本检查。在 OpenSSL 3.0 之后,ABI 兼容性的保证范围更广(只有库的 major 必须匹配,而不是早期版本中的 major 和 minor)。 

  • 修复某些测试中使用的 sk-dummy.so FIDO 提供程序模块的构建问题。

详情可查看更新公告:https://www.openssh.com/releasenotes.html


相關推薦

2024-05-14

CentOS 早期的联合创始人 Rocky McGaugh 致敬。 Rocky Linux 9.4 现已发布,此版本适用于 x86_64、aarch64、ppc64le 和 s390x 架构。 一些更新亮点包括: 9.4 版本的大多数镜像都是使用 OpenSUSE 的新 image builder 创建的:KIWI。仍然使用 imagefactory

2023-03-17

OpenSSH 是 100% 完整的 SSH 协议 2.0 实现,且包括 sftp 客户端和服务器支持。 OpenSSH 9.3 现已发布,此版本修复了一些安全漏洞。 安全问题 ssh-add(1):当使用 OpenSSH 8.9 中添加的每跳(per-hop)目标约束(ssh-add -h ...)将智能卡密钥

2023-12-21

OpenSSH 是 100% 完整的 SSH 协议 2.0 实现,且包括 sftp 客户端和服务器支持。 OpenSSH 9.6 现已发布,此版本包含了许多安全修复并添加了一些小功能。其中包括一个针对所谓 Terrapin 攻击的修复。这种攻击允许 MITM 在加密开始前发送额

2023-02-04

OpenSSH 是 100% 完整的 SSH 协议 2.0 实现,且包括 sftp 客户端和服务器支持。 OpenSSH 9.2 现已发布,此版本包含两个安全问题和一个内存安全问题的修复程序: sshd(8) : 修复 OpenSSH 9.1 中引入的预认证双释放内存错误。它发生在受 ch

2024-04-26

NetBSD Packages Collection 获得。  NetBSD 10.0 已于上月发布,其中包含了过去几年中积累的一长串改进和其他增强功能。对于那些尚未升级到 NetBSD 10.0 的用户来说,NetBSD 9 系列近日已更新至 9.4。 NetBSD 9.4 带来了各种稳定性增

2022-08-17

LZ4 v1.9.4 已发布,这是一个维护版本,包含大约 350 个 commit,也是近两年来发布的首个点版本更新。发布公告写道,liblz4 API 的稳定部分没有变更,使得这个版本可以直接替换现有的功能。开发团队也推荐用户升级到新版本。

2023-09-27

LinkWeChat 是国内首个基于企业微信的开源 SCRM,在集成了企微强大的开放能力的基础上,进一步升级拓展灵活高效的客户运营能力及多元化精准营销能力,让客户与企业之间建立强链接,帮助企业提高客户运营效率,强化营销能

2023-04-06

编程)和 FRP(功能反应式编程)等元素。 Nest.js 9.4 正式发布,该版本更新内容如下: 功能 microservices 通过 TLS 连接到 TCP 微服务(TCP microservice over TLS) 错误修正 platform-ws 在不同路径上挂载多个 ws 服务器 p

2023-11-08

介绍 Tailchat 是一款插件化易拓展的开源 IM 应用。可拓展架构赋予 Tailchat 无限可能性。 前端微内核架构 + 后端微服务架构 使得 Tailchat 能够驾驭任何定制化 / 私有化的场景 面向企业与私域用户打造,

2024-09-25

本来没有,难得弱小生来。借华为的话,“我们敢于非凡”。七年时间,我们不断变强!越来越强!还会更强! Solon 框架! Java “新式”应用开发框架。开放原子开源基金会,孵化项目。从零开始构建(非 java-ee 架构),有灵

2023-06-12

PicList 是一个云存储管理和图片上传工具,可以进行包括云端目录查看、文件搜索、批量上传下载和删除文件,复制多种格式文件链接和文件预览等操作。 开源地址和软件官网 Github: https://github.com/Kuingsmile/PicList Gitee: https

2024-07-24

MyBatis-Flex: 一个优雅的 MyBatis 增强框架 特征 1、很轻量 MyBatis-Flex 整个框架只依赖 MyBatis,再无其他任何第三方依赖。 2、只增强 MyBatis-Flex 支持 CRUD、分页查询、多表查询、批量操作,但不丢失 MyBatis 原有的任何功能

2023-10-11

用 ALT + UP 和 ALT + DOWN 上下移动行 如果要求输入密码,OpenSSH 将使用 SSH_ASKPASS(需要 OpenSSH 8.4 或更高版本;对旧版本的 OpenSSH 没有影响) 仅在当前环境中自动将 GE 设置为编辑器 对“Could not load file or assembly”异常的更用户友

2022-04-11

体验APP新功能,freelace耳机等你来拿!>>>>> OpenSSH 是使用 SSH 协议进行远程登录的首要连接工具。它对所有通信进行加密,以消除窃听、连接劫持和其他攻击。此外,OpenSSH 还提供了一套大型的安全隧道功能、几种认