Состоялся релиз OpenSSH 9.4 — открытой реализации клиента и сервера для работы через протоколы SSH 2.0 и SFTP.
Основные изменения в OpenSSH 9.4:
- В утилите ssh разрешено перенаправление на другой хост Unix-сокетов через команду ssh -W;
- В файл конфигурации ssh_config добавлены директива «Tag» и операция сопоставления «Match tag», позволяющие использовать теги для определения условий выбора определённого блока конфигурации;
- В ssh добавлена операция сопоставления «Match localnetwork» для привязки к адресам локальных сетевых интерфейсов;
- В ssh, sshd и ssh-keygen добавлена возможность подключения расширений в формате KRL. Сами расширения на текущем этапе разработки пока недоступны;
- В sshd в директивах AuthorizedPrincipalsCommand и AuthorizedKeysCommand реализована поддержка %-подстановок: «%D» для подстановки адреса шлюза, через который маршрутизируется текущий сеанс, и «%C» для подстановки адресов и номеров портов локальной и удалённой сторон соединения;
- В утилите ssh-keygen по умолчанию на 50% увеличено число раундов в функции bcrypt при генерации ключей симметричного шифрования файлов с ключами, защищёнными паролем;
- Прекращена поддержка старых версий библиотеки libcrypto. Для сборки теперь требуется наличие как минимум версии LibreSSL 3.1.0 или OpenSSL 1.1.1;
- В качестве дополнительного пути блокирования уязвимости, связанной с возможностью загрузки модулей PKCS#11 в ssh-agent, запрещено указание относительных и неполных путей к модулям (ранее функция dlopen производила поиск модуля по имени в каталоге с библиотеками).
Статьи по теме: