Damien Miller z zespołu programistów projektu OpenSSH ogłosił wczoraj na liście dyskusyjnej wydanie OpenSSH w wersji 7.0. OpenSSH posiada pełną implementację protokołu SSH 2.0 oraz zawiera obsługę serwera i klienta sftp. Dodatkowo podczas kompilacji można włączyć wsparcie dla protokołu SSH w wersji 1.3 i 1.5. Nowa wersja przynosi sporo poprawek bezpieczeństwa, skupionych przede wszystkim na przestarzałych słabych oraz niebezpiecznych metodach szyfrowania.
Zmiany w porównaniu do OpenSSH 6.9 zawierają między innymi naprawę błędu występującego w wersji 6.8 i 6.9 polegającego na nieprawidłowym ustawianiu uprawnień (dostępne do zapisu dla wszystkich) dla TTY, poprawioną separację uprawnień związanej z obsługą PAM, czy też błędu pozwalającego na obejście MaxAuthTries przy użyciu autentykacji interaktywnej gdzie w odpowiednio krótkim czasie można było wykonać tysiące prób logowania za jednym razem.
Nowa wersja przynosi też zmiany, które są mogą być potencjalnie niekompatybilne z serwerami używającymi poprzednich wersji: domyślne wyłączenie na etapie kompilacji obsługi protokołu SSH w wersji 1, wyłączenie obsługi 1024-bitowego klucza diffie-hellman-group1-sha1, czy też kluczy hostów i użytkowników ssh-dss, ssh-dss-cert-*. Usunięte zostało również wsparcie dla przestarzałego formatu certyfikatu v00. Domyślnie w pliku konfiguracyjnym sshd_config opcja PermitRootLogin została zmieniona z “yes” na “prohibit-password”, zaś ustawienie jej wartości “without-password” lub “prohibit-password” blokuje automatycznie metody interaktywne autentykacji, pozwalając do zalogowania tylko przez klucz publiczny.
Wśród nowych funkcji znajdziemy między innymi nową opcję konfiguracyjną klienta PubkeyAcceptedKeyTypes do kontroli typu klucza publicznego, który ma być dostępny do autentykacji użytkownika, oraz analogiczna HostKeyAlgorithms w konfiguracji serwera ustawiająca typy kluczy publicznych, które mają być dostępne. Opcje Ciphers, MACs, KexAlgorithms, HostKeyAlgorithms, PubkeyAcceptedKeyTypes i HostbasedKeyTypes mogą teraz dodawać zestawy algorytmów szyfrowania, zamiast je tylko zastępować. W takim przypadku należy dodać przed wartością znak +, np: HostKeyAlgorithms=+ssh-dss (dzięki temu zestaw domyślnych algorytmów zostaje zachowany z dodatkową obsługą ssh-dss). PermitRootLogin w konfiguracji serwera może teraz akceptować argument “prohibit-password” jako bardziej jednoznaczny synonim wartości “without-password”.
Na liście poprawek znajdziemy między innymi poprawienie kompatybilności dla Cisco i większej ilości wersji PuTTY, poprawę niektórych zaniedbań i błędów w dokumentacji PROTOCOL i PROTOCOL.mux, wzbogacenie manuala ssh o lepszy opis przekierowania gniazd domen, pomijanie niezainicjalizowanych slotów PKCS#11, naprawę ładowania kluczy kiedy są one obecne czy też nieignorowanie hostowanych kluczy PKCS#11 z pustym CKA_ID.
Pojawiły się też zapowiedzi wykluczeń w następnych wersjach: odrzucanie wszystkich kluczy RSA mniejszych niż 1024 bity (obecnie minimum to 768), domyślne wyłączenie metod szyfrowania: blowfish-cbc, cast128-cbc, wszystkich wariantów arcfour, aliasów rijndael-cbc dla AES oraz bazujących na MD5 algorytmów HMAC.
Całość ogłoszenia na stronie projektu: http://www.openssh.com/txt/release-7.0
