Megérkezett az OpenSSH 9.9 új verziója számos újdonsággal és hibajavítással

Az OpenSSH mely egy nyílt forráskódú SSH protokoll implementációja, megjelent a 9.9-es verzióval szeptember 19-én számos újítással és hibajavítással.

Megérkezett az OpenSSH 9.9 új verziója számos újdonsággal és hibajavítással

OpenSSH 9.9 újdonságai

Az OpenSSH 9.9 új funkciói közé tartozik a hibrid poszt-kvantum kulcscsere támogatása, amely a FIPS 203 Module-Lattice Key Enclosure Mechanism (ML-KEM) és az X25519 ECDH kombinálásával jött létre, és alapértelmezés szerint elérhető „mlkem768x25519-sha256” néven. Az ssh_config „Include” direktíva mostantól képes környezeti változók kiterjesztésére, valamint a „%-token” használatára a „Match Exec” beállításokhoz.

Az sshd_config „RefuseConnection” opció lehetővé teszi a kapcsolat megszüntetését az első hitelesítési kéréskor, míg a „refuseconnection” büntetési osztályt hozzáadták a PerSourcePenalties-hoz, amelyet a kapcsolat megszakítása esetén alkalmaznak. Továbbá a „Match invalid-user” predikátum is elérhető, amely akkor lép életbe, ha a megcélzott felhasználónév érvénytelen a szerveren.

A Streamlined NTRUPrime kódot jelentősen gyorsabb implementációra frissítették, és a hybrid Streamlined NTRUPrime/X25519 kulcscsere algoritmus most már IANA által hozzárendelt névvel is rendelkezik, „sntrup761x25519-sha512” néven. Az ssh(1), sshd(8) és ssh-agent(1) megakadályozza, hogy a privát kulcsok a core dump fájlokba kerüljenek az élettartamuk alatt. A kulcskezelést a libcrypto EVP_PKEY API-ra váltották, kivéve a DSA-t, és a bejelentkezési időhöz véletlenszerű jittert (maximum 4 másodperc) adtak hozzá, hogy a lejárat előre ne legyen látható.

Az újdonságokon felül hibajavítások is történtek

A hibajavítások között szerepel, hogy az sshd(8) visszaállította az abszolút útvonal követelményét a korábbi állapotára, amely korábban tévesen követelte meg az abszolút útvonal használatát inetd módban. Az OpenSSH 9.8-as verzióban bevezetett regressziót is javították, amely felcserélte a forrás- és célcímeket egyes sshd naplóüzenetekben. Az authorized_keys opciók nem alkalmazhatók, ha a hitelesítés ellenőrzése meghiúsul, így megakadályozva, hogy szigorúbb kulcsopciók érvényesüljenek a további kulcsokra.

Az ssh-keygen(1) most már tartalmazza a fájlnevet a jelszó megadásakor, ami segít a felhasználóknak. Az ssh(1) és ssh-add(1) most már következetesen a legutolsó ‘@’ karaktert keresi a felhasználónévben, így lehetővé téve az ‘@’ karaktert tartalmazó felhasználónevek használatát. A kulcstípusok neveinek szigorúbb értelmezésére is sor került, a felhasználói felületen csak rövid neveket engedélyeznek. A re-keying regressziós teszt teljesítmény- és helyességi javításokat kapott, a ssh-keygen(1) pedig tisztázza, hogy az ed25519 a generált alapértelmezett kulcstípus. A Subsystem opciók elemzésében kisebb memória szivárgást javítottak, és további keményítési és konzisztencia ellenőrzéseket hajtottak végre a sshbuf kódra.

A sshd(8) csökkentette az alapértelmezett logingrace büntetést, hogy biztosítsa: egyetlen elfelejtett bejelentkezés, amely időtúllépést szenved, ne lépje túl a büntetési küszöböt. Végül javították a proxy multiplexing hibát is, amely a mux proxy kapcsolat leállításakor rossz üzenetet adott ki.

Hogyan tudom letölteni?

Az új verzió letölthető a hivatalos weboldalról, ahol megtekintheted a teljes kiadási megjegyzéseket is a mindenre kiterjedő változások listájáért. Az új verzió a legtöbb linux disztribució szoftvertárába is hamarosan megérkezik, így érdemes azt frissíteni amint megérkezik.