رایگان دانلود OpenSSH برای Linux ::: نرمافزار

نرم افزار تصویر:

جزئیات نرم افزار:

نسخه: 7.7 ^{به روز شده}

ها تاریخ: 22 Jun 18

توسعه دهنده: OpenBSD Project

پروانه: رایگان

محبوبیت: 21

دانلود

Currently nan/5
1
2
3
4
5

Rating: nan/5 (Total Votes: 0)

OpenSSH یک پروتکل نرم افزاری آزادانه توزیع شده و منبع باز است که یک برنامه کتابخانه و خط فرمان است که در پس زمینه سیستم عامل گنو / لینوکس اجرا می شود و کل شبکه شما را از مزاحمان و مهاجمان محافظت می کند. این نسخه منبع باز SSH (Secure Shell) است که به طور خاص برای

طراحی شده است
امکانات در یک نگاه

OpenSSH یک پروژه منبع باز است که تحت مجوز رایگان توزیع شده است. این تأیید هویت قوی بر اساس کلید عمومی، اعتبار Kerberos و رمز عبور یکبارۀ زمان بندی، رمزگذاری قوی بر اساس الگوریتم های AES، Blowfish، Arcfour و 3DES، پشتیبانی X11 forwarding توسط رمزگذاری تمام ترافیک سیستم X Window، و همچنین AFS و عبور بلیط Kerberos.

علاوه بر این، پشتیبانی از پورت حمل و نقل پورتال با رمزگذاری کانال ها برای پروتکل های قدیمی، پشتیبانی فشرده سازی داده ها، پشتیبانی از حمل و نقل عامل با استفاده از استاندارد احراز هویت تک ورودی (SSO) و سرور SFTP (سرور امن FTP) و پشتیبانی مشتری در هر دو پروتکل SSH2 یا SSH1.

یک ویژگی جالب دیگر قابلیت همکاری است، یعنی این پروژه با نسخه های 1.3، 1.5 و 2.0 پروتکل اصلی SSH (Secure Shell) مطابقت دارد. پس از نصب، OpenSSH به طور خودکار برنامه های FTP، Telnet، RCP و Rlogin را با نسخه های امن آن مانند SFTP، SCP و SSH جایگزین می کند.

تحت هود، در دسترس بودن و پشتیبانی از سیستم عامل

پروژه OpenSSH به طور کامل در زبان برنامه نویسی C نوشته شده است. این شامل پیاده سازی SSH اصلی و daemon SSH است که در پس زمینه اجرا می شود. این نرم افزار عمدتا به عنوان یک آرشیو منابع جهانی توزیع شده است که با هر سیستم عامل گنو / لینوکس در هر دو معماری 32 بیتی و 64 بیتی کار خواهد کرد.

قابل حمل OpenSSH

یک نسخه قابل حمل از پروتکل OpenSSH نیز برای دانلود رایگان نرم افزار Softoware به نام OpenSSH قابل حمل موجود است. این یک پیاده سازی پروتکل SSH نسخه 1 و پروتکل SSH نسخه 2 برای سیستم عامل های لینوکس، BSD و سولاریس است.

چه جدید در این نسخه است:

sshd (8): هنگامی که یک دستور اجباری در هر دو گواهی و یک کلید / دستورالعمل مجاز دستور / محدودیت مجاز نمایش داده می شود، sshd اکنون مجوز گواهی را رد می کند، مگر اینکه یکسان باشد. رفتار قبلي (مستند) داشتن مجوز فرمان گواهينامه از سوي ديگر ممكن است باعث اشتباه و خطا شود. sshd (8): دستورالعمل پیکربندی UseLogin را حذف کنید و پشتیبانی از داشتن / bin / login مدیریت جلسات ورود به سیستم.
تغییرات از زمان OpenSSH 7.3:
امنیت:
ssh-agent (1): اکنون حاضر به بارگیری PKCS # 11 ماژول ها از مسیرهای خارج از یک لیست سفید معتبر (تنظیم زمان اجرا). درخواست ها برای بارگیری ماژول ها می تواند از طریق حمل و نقل نماینده منتقل شود و مهاجم می تواند یک ماژول PKCS # 11 غلطی را در کانال عامل فرستاده شده بارگذاری کند: ماژول های PKCS # 11 کتابخانه های مشترک هستند، بنابراین این امر می تواند در اجرای کد در سیستم اجرا شود. ssh -agent اگر مهاجم کنترل سوکت عامل فرستنده (در میزبان که سرور sshd را اجرا می کند) و توانایی نوشتن در سیستم فایل میزبان در حال اجرا ssh-agent (معمولا میزبان که سرویس گیرنده ssh است) را کنترل می کند. گزارش شده توسط جین هورن از پروژه صفر.sshd (8): هنگام جدا شدن امتیاز، سوکتهای دامنه یونیکس ارسال شده توسط sshd (8) با امتیازات «root» به جای کاربر تأیید شده ایجاد می شوند. این نسخه از ارسال مجدد سوکت دامنه یونیکس زمانی که جدا کردن امتیاز مجددا غیرفعال است، رد می شود (جداسازی مجوز به طور پیش فرض برای 14 سال فعال شده است). گزارش شده توسط جین هورن از پروژه صفر.
sshd (8): در هنگام خواندن کلیدها از نشت تئوری خصوصیات کلیدی میزبان به فرآیندهای فرزند مجرد از طریق realloc () اجتناب کنید. هیچ گونه نشتی در عمل برای کلید های معمولی مشاهده نشده است و همچنین نشت نشت به فرزند مستقیما مواد کلیدی را به کاربران غیر مجاز عرضه نمی کند. گزارش شده توسط جین هورن از پروژه صفر.sshd (8): مدیر حافظه به اشتراک گذاشته شده که توسط پشتیبانی فشرده سازی قبل از تصدیق مورد استفاده قرار می گیرد، چک های محدوده ای دارد که می تواند توسط بعضی از کامپایلرهای بهینه سازی استفاده شود. علاوه بر این، این مدیر حافظه در هنگام فشرده سازی قبل از تصدیق غیرفعال در دسترس بود. این امر به طور بالقوه می تواند حملات علیه فرایند مانیتورینگ منحصر به فرد را از فرایند جداسازی مجدد سد بازرگانی (سازش دوم برای اولین بار مورد نیاز باشد) را امکان پذیر می سازد. این انتشار پشتیبانی از فشرده سازی قبل از تصدیق را از sshd (8) حذف می کند. گزارش شده توسط Guido Vranken با استفاده از ابزار شناسایی بهینه سازی پشته ناپایدار (http://css.csail.mit.edu/stack/)
sshd (8): وضعیت سرویس انکار سرویس را رفع کنید، در صورتی که مهاجمی که چندین پیام KEXINIT را ارسال می کند، می تواند تا 128 مگابایت برای هر اتصال استفاده کند. گزارش شده توسط شیلی از تیم دنده، Qihoo 360.
sshd (8): محدوده آدرس را برای دستورالعمل AllowUser و DenyUsers تایید کنید در زمان پیکربندی و عدم پذیرش موارد غیر قابل قبول. قبلا می توان محدوده های آدرس نامعتبر CIDR را مشخص کرد (به عنوان مثال user@127.1.2.3/55) و این همیشه هم مطابقت دارد، که احتمالا منجر به اعطای دسترسی به جایی که در نظر گرفته نشده بود. گزارش شده توسط لورنس پری
ویژگی های جدید:ssh (1): یک حالت چندگانه پروکسی را به ssh (1) اضافه کنید که توسط نسخه ای در PuTTY توسط سیمون تاتام الهام گرفته شده است. این اجازه می دهد تا یک مشتری چندگانه برای ارتباط با فرایند اصلی با استفاده از یک زیر مجموعه پروتکل SSH و پروتکل های SSH در یک سوکت دامنه یونیکس، با فرآیند اصلی به عنوان یک پروکسی عمل کند که شناسه های کانال را ترجمه می کند و غیره. سیستم هایی که فایرفاکس-رمز عبور را فراموش کرده اند (که توسط کد multiplexing current استفاده می شود) و به طور بالقوه، همراه با ارسال سوکت سوکت یونیکس، با پردازنده master و multiplexing در ماشین های مختلف. حالت پروکسی Multiplexing ممکن است با استفاده از & quot؛ ssh -O proxy ... & quot؛
sshd (8): یک گزینه sshd_config DisableForwarding را اضافه کنید که X11، agent، TCP، tunnel و یونیکس سوکت دامنه را غیر فعال می کند، و همچنین هر چیز دیگری که ممکن است در آینده استفاده کنیم. همانند پرچم authorized_keys 'limit'، این قصد دارد یک روش ساده و آینده ای برای محدود کردن یک حساب کاربری باشد.
sshd (8)، ssh (1): پشتیبانی از & quot؛ curve25519-sha256 & quot؛ روش تبادل کلیدی این همان روش متداول پشتیبانی شده به نام & quot؛ curve25519-sha256@libssh.org & quot؛ است.sshd (8): با توجه به بررسی اینکه آیا sshd در هنگام راه اندازی تشخیص داده شده است یا خیر، و در صورت رد شدن از تماس با daemon (3)، بهتر است دستکاری SIGHUP را بررسی کنید. این تضمین می کند که راه اندازی مجدد SIGHUP از sshd (8) همان پروسۀ ID را همانند اجرای اولیه حفظ خواهد کرد. sshd (8) هم اکنون PidFile را قبل از راه اندازی مجدد SIGHUP پیوند می دهد و پس از یک راه اندازی مجدد موفقیت آمیز آن را مجددا ایجاد می کند، نه یک فایل ثابت در صورت خطای پیکربندی. bz # 2641
sshd (8): دستورالعملهای ClientAliveInterval و ClientAliveCountMax را در بلوک های مربوط به sshd_config مطرح کنید.
sshd (8): افزودن٪ -finds به AuthorizedPrincipalsCommand برای مطابقت با کسانی که توسط AuthorizedKeysCommand پشتیبانی می شوند (کلید، نوع کلیدی، اثر انگشت، و غیره) و چند مورد دیگر برای دسترسی به محتویات گواهی ارائه شده است.
تست های رگرسیون اضافه شده برای تطابق رشته، تطبیق آدرس و توابع sanitisation رشته.
بهبود کلید مهار مبدل fuzzer.
رفع اشکالات:
ssh (1): اجازه دادن به IdentityFile برای بارگیری و استفاده از گواهیهایی که دارای کلید عمومی عمومی نیستند، استفاده کنید. bz # 2617 گواهی id_rsa-cert.pub (و بدون id_rsa.pub).ssh (1): هنگام تأیید هویت چندگانه، احراز هویت کلید عمومی را رفع می کند و publickey تنها اولین روش نیست. bz # 2642
رنج بردن: اجازه آزمایشات متقابل PuTTY را به صورت بی نظیر انجام دهید. bz # 2639
ssh-agent (1)، ssh (1): در هنگام بارگیری کلید از PKCS # 11 با پیام های ورودی کمتر استفاده نشده و جزئیات بیشتر در پیام های اشکال زدایی، گزارش را بهبود می بخشد. bz # 2610
ssh (1): وقتی اتصالات ControlMaster را از بین ببرید، stderr را آلوده نکنید وقتی LogLevel = quiet.
sftp (1): بر روی ^ Z منتظر بمانید ssh (1) قبل از تعلیق sftp (1)، برای اطمینان از اینکه ssh (1) به درستی در صورتی که در زمان ورود به سیستمعامل معلق باشد، صحیح ترمینال را به درستی بازیابی کند.
ssh (1): اجتناب از مشغول شدن - صبر کنید زمانی که SSH (1) در یک درخواست رمز عبور معلق است.
ssh (1)، sshd (8): اشتباهات را در هنگام ارسال پیام های غیرمستقیم گزارش می دهند.
sshd (8): تصحیح NULL-deref را رفع کند اگر sshd (8) یک پیغام NEWKEYS خارج از رشته دریافت کرد.
sshd (8): لیست درستی از الگوریتم های امضا پشتیبانی شده ارسال شده در برنامه افزودنی server-sig-algs. bz # 2547
sshd (8): ثابت ارسال پیام ext_info اگر privsep غیر فعال باشد.sshd (8): دستورالعمل مورد انتظار از تماس های مانیتورینگ جداگانه امتیاز که برای احراز هویت استفاده می شود، به شدت اجرا می شود و تنها زمانی که روش های احراز هویت مربوطه آنها در پیکربندی فعال می شود،
sshd (8): ثابت کردن uninitialised optlen در get access () call؛ Unix / BSD بی عیب و نقص است، اما Cygwin به طور بالقوه خراب است.
رفع گزارش های مثبت کاذب ناشی از explicit_bzero (3) که به عنوان یک initialiser حافظه شناخته نمی شود هنگام کامپایل شدن با حافظه -fsanitize. sshd_config (5): استفاده از 2001: db8 :: / 32، زیر شبکه ی رسمی IPv6 برای نمونه های پیکربندی.
قابلیت حمل:
در محیط های پیکربندی شده با مکان های ترکی، به منظور جلوگیری از اشتباهات در تجزیه و تحلیل پیکربندی ناشی از رفتار منحصر به فرد این زبان با حروف "I" و "I"، به محلی C / POSIX برگشت می شود. bz # 2643
sftp-server (8)، ssh-agent (1): استفاده از ptrace را در OS X ممنوع کنید (PT_DENY_ATTACH، ..)
ssh (1)، sshd (8): رمزهای AES-CTR را بر روی OpenSSL قدیمی (0.9.8) باز کنید.
رفع کامپایل برای libcrypto کامپایل بدون پشتیبانی RIPEMD160.

contrib: gnome-ssh-askpass3 را با پشتیبانی GTK + 3 اضافه کنید. bz # 2640 sshd (8): PRNG را بهبود بخشید تا از طریق تقسیم امتیاز برسید و libcrypto را مجبور کنید تا بذر با کیفیت بالا را قبل از chroot یا sandbox کردن بگنجانید.
همه: به طور صریح برای strnvis شکسته تست کنید. NetBSD یک ترولنویس را اضافه کرد و متاسفانه آن را با یک موجود در OpenBSD و لایبدس لینوکس (که بیش از 10 سال از آن گذشته است) ناسازگار ساخته است. سعی کنید این آشفتگی را تشخیص دهید و تنها گزینه ایمن را در صورتی که متقابل کامپایل شده است فرض کنیم.

چه جدید در این نسخه است:

چه جدید در نسخه 7.4 است:

تغییرات بالقوه ناسازگار:
این نسخه شامل تعدادی از تغییراتی است که ممکن است روی تنظیمات موجود تاثیر بگذارد:
این انتشار پشتیبانی سرور را برای پروتکل SSH v.1 حذف می کند.
ssh (1): حذف 3des-cbc از پیشنهاد پیش فرض مشتری. رمزهای رمزگذاری 64 بیتی در سال 2016 ایمن نیستند و ما نمی خواهیم صبر کنیم تا حمله هایی مانند SWEET32 به SSH گسترش یابد. همانطور که 3des-cbc تنها رمزعبور در SSH RFC بود، ممکن است مشکلات اتصال به دستگاه های قدیمی را با استفاده از پیکربندی پیش فرض ایجاد کند، اما احتمالا چنین تنظیماتی برای تغییرات کلیدی و الگوریتم های hostkey در حال حاضر نیاز به تنظیمات صریح دارد. sshd (8): پشتیبانی از فشرده سازی قبل از تصدیق را حذف کنید. فشرده سازی اولیه در پروتکل احتمالا در دهه 1990 به نظر منطقی بود اما امروزه به وضوح یک ایده بد از لحاظ رمزنگاری (از جمله چند حملات اوراکل فشرده در TLS) و سطح حمله است. پشتیبانی از فشرده سازی قبل از اتفاقی به طور پیش فرض برای & gt؛ 10 سال غیر فعال شده است. پشتیبانی در مشتری باقی می ماند. ssh-agent به طور پیش فرض از ماژول های PKCS # 11 خارج از یک لیست سفارشی از مسیرهای قابل اعتماد رد می کند. لیست سفید مسیر ممکن است در زمان اجرا مشخص شود.sshd (8): هنگامی که یک دستور اجباری در هر دو گواهی و یک کلید / دستورالعمل مجاز دستور / محدودیت مجاز نمایش داده می شود، sshd اکنون مجوز گواهی را رد می کند، مگر اینکه یکسان باشد. رفتار قبلي (مستند) داشتن مجوز فرمان گواهينامه از سوي ديگر ممكن است باعث اشتباه و خطا شود. sshd (8): دستورالعمل پیکربندی UseLogin را حذف کنید و پشتیبانی از داشتن / bin / login مدیریت جلسات ورود به سیستم.
تغییرات از زمان OpenSSH 7.3:
امنیت:
ssh-agent (1): اکنون حاضر به بارگیری PKCS # 11 ماژول ها از مسیرهای خارج از یک لیست سفید معتبر (تنظیم زمان اجرا). درخواست ها برای بارگیری ماژول ها می تواند از طریق حمل و نقل نماینده منتقل شود و مهاجم می تواند یک ماژول PKCS # 11 غلطی را در کانال عامل فرستاده شده بارگذاری کند: ماژول های PKCS # 11 کتابخانه های مشترک هستند، بنابراین این امر می تواند در اجرای کد در سیستم اجرا شود. ssh -agent اگر مهاجم کنترل سوکت عامل فرستنده (در میزبان که سرور sshd را اجرا می کند) و توانایی نوشتن در سیستم فایل میزبان در حال اجرا ssh-agent (معمولا میزبان که سرویس گیرنده ssh است) را کنترل می کند. گزارش شده توسط جین هورن از پروژه صفر.sshd (8): هنگام جدا شدن امتیاز، سوکتهای دامنه یونیکس ارسال شده توسط sshd (8) با امتیازات «root» به جای کاربر تأیید شده ایجاد می شوند. این نسخه از ارسال مجدد سوکت دامنه یونیکس زمانی که جدا کردن امتیاز مجددا غیرفعال است، رد می شود (جداسازی مجوز به طور پیش فرض برای 14 سال فعال شده است). گزارش شده توسط جین هورن از پروژه صفر.
sshd (8): در هنگام خواندن کلیدها از نشت تئوری خصوصیات کلیدی میزبان به فرآیندهای فرزند مجرد از طریق realloc () اجتناب کنید. هیچ گونه نشتی در عمل برای کلید های معمولی مشاهده نشده است و همچنین نشت نشت به فرزند مستقیما مواد کلیدی را به کاربران غیر مجاز عرضه نمی کند. گزارش شده توسط جین هورن از پروژه صفر.sshd (8): مدیر حافظه به اشتراک گذاشته شده که توسط پشتیبانی فشرده سازی قبل از تصدیق مورد استفاده قرار می گیرد، چک های محدوده ای دارد که می تواند توسط بعضی از کامپایلرهای بهینه سازی استفاده شود. علاوه بر این، این مدیر حافظه در هنگام فشرده سازی قبل از تصدیق غیرفعال در دسترس بود. این امر به طور بالقوه می تواند حملات علیه فرایند مانیتورینگ منحصر به فرد را از فرایند جداسازی مجدد سد بازرگانی (سازش دوم برای اولین بار مورد نیاز باشد) را امکان پذیر می سازد. این انتشار پشتیبانی از فشرده سازی قبل از تصدیق را از sshd (8) حذف می کند. گزارش شده توسط Guido Vranken با استفاده از ابزار شناسایی بهینه سازی پشته ناپایدار (http://css.csail.mit.edu/stack/)
sshd (8): وضعیت سرویس انکار سرویس را رفع کنید، در صورتی که مهاجمی که چندین پیام KEXINIT را ارسال می کند، می تواند تا 128 مگابایت برای هر اتصال استفاده کند. گزارش شده توسط شیلی از تیم دنده، Qihoo 360.
sshd (8): محدوده آدرس را برای دستورالعمل AllowUser و DenyUsers تایید کنید در زمان پیکربندی و عدم پذیرش موارد غیر قابل قبول. قبلا می توان محدوده های آدرس نامعتبر CIDR را مشخص کرد (به عنوان مثال user@127.1.2.3/55) و این همیشه هم مطابقت دارد، که احتمالا منجر به اعطای دسترسی به جایی که در نظر گرفته نشده بود. گزارش شده توسط لورنس پری
ویژگی های جدید:ssh (1): یک حالت چندگانه پروکسی را به ssh (1) اضافه کنید که توسط نسخه ای در PuTTY توسط سیمون تاتام الهام گرفته شده است. این اجازه می دهد تا یک مشتری چندگانه برای ارتباط با فرایند اصلی با استفاده از یک زیر مجموعه پروتکل SSH و پروتکل های SSH در یک سوکت دامنه یونیکس، با فرآیند اصلی به عنوان یک پروکسی عمل کند که شناسه های کانال را ترجمه می کند و غیره. سیستم هایی که فایرفاکس-رمز عبور را فراموش کرده اند (که توسط کد multiplexing current استفاده می شود) و به طور بالقوه، همراه با ارسال سوکت سوکت یونیکس، با پردازنده master و multiplexing در ماشین های مختلف. حالت پروکسی چندگانه ممکن است با استفاده از "ssh -O proxy ..."
sshd (8): یک گزینه sshd_config DisableForwarding را اضافه کنید که X11، agent، TCP، tunnel و یونیکس سوکت دامنه را غیر فعال می کند، و همچنین هر چیز دیگری که ممکن است در آینده استفاده کنیم. همانند پرچم authorized_keys 'limit'، این قصد دارد یک روش ساده و آینده ای برای محدود کردن یک حساب کاربری باشد.
sshd (8)، ssh (1): روش مبادله کلیدی "curve25519-sha256" را پشتیبانی کنید. این همان روش متداول با نام "curve25519-sha256@libssh.org" است.sshd (8): با توجه به بررسی اینکه آیا sshd در هنگام راه اندازی تشخیص داده شده است یا خیر، و در صورت رد شدن از تماس با daemon (3)، بهتر است دستکاری SIGHUP را بررسی کنید. این تضمین می کند که راه اندازی مجدد SIGHUP از sshd (8) همان پروسۀ ID را همانند اجرای اولیه حفظ خواهد کرد. sshd (8) هم اکنون PidFile را قبل از راه اندازی مجدد SIGHUP پیوند می دهد و پس از یک راه اندازی مجدد موفقیت آمیز آن را مجددا ایجاد می کند، نه یک فایل ثابت در صورت خطای پیکربندی. bz # 2641
sshd (8): دستورالعملهای ClientAliveInterval و ClientAliveCountMax را در بلوک های مربوط به sshd_config مطرح کنید.
sshd (8): افزودن٪ -finds به AuthorizedPrincipalsCommand برای مطابقت با کسانی که توسط AuthorizedKeysCommand پشتیبانی می شوند (کلید، نوع کلیدی، اثر انگشت، و غیره) و چند مورد دیگر برای دسترسی به محتویات گواهی ارائه شده است.
تست های رگرسیون اضافه شده برای تطابق رشته، تطبیق آدرس و توابع sanitisation رشته.
بهبود کلید مهار مبدل fuzzer.
رفع اشکالات:
ssh (1): اجازه دادن به IdentityFile برای بارگیری و استفاده از گواهیهایی که دارای کلید عمومی عمومی نیستند، استفاده کنید. bz # 2617 گواهی id_rsa-cert.pub (و بدون id_rsa.pub).ssh (1): هنگام تأیید هویت چندگانه، احراز هویت کلید عمومی را رفع می کند و publickey تنها اولین روش نیست. bz # 2642
رنج بردن: اجازه آزمایشات متقابل PuTTY را به صورت بی نظیر انجام دهید. bz # 2639
ssh-agent (1)، ssh (1): در هنگام بارگیری کلید از PKCS # 11 با پیام های ورودی کمتر استفاده نشده و جزئیات بیشتر در پیام های اشکال زدایی، گزارش را بهبود می بخشد. bz # 2610
ssh (1): وقتی اتصالات ControlMaster را از بین ببرید، stderr را آلوده نکنید وقتی LogLevel = quiet.
sftp (1): بر روی ^ Z منتظر بمانید ssh (1) قبل از تعلیق sftp (1)، برای اطمینان از اینکه ssh (1) به درستی در صورتی که در زمان ورود به سیستمعامل معلق باشد، صحیح ترمینال را به درستی بازیابی کند.
ssh (1): اجتناب از مشغول شدن - صبر کنید زمانی که SSH (1) در یک درخواست رمز عبور معلق است.
ssh (1)، sshd (8): اشتباهات را در هنگام ارسال پیام های غیرمستقیم گزارش می دهند.
sshd (8): تصحیح NULL-deref را رفع کند اگر sshd (8) یک پیغام NEWKEYS خارج از رشته دریافت کرد.
sshd (8): لیست درستی از الگوریتم های امضا پشتیبانی شده ارسال شده در برنامه افزودنی server-sig-algs. bz # 2547
sshd (8): ثابت ارسال پیام ext_info اگر privsep غیر فعال باشد.sshd (8): دستورالعمل مورد انتظار از تماس های مانیتورینگ جداگانه امتیاز که برای احراز هویت استفاده می شود، به شدت اجرا می شود و تنها زمانی که روش های احراز هویت مربوطه آنها در پیکربندی فعال می شود،
sshd (8): ثابت کردن uninitialised optlen در get access () call؛ Unix / BSD بی عیب و نقص است، اما Cygwin به طور بالقوه خراب است.
رفع گزارش های مثبت کاذب ناشی از explicit_bzero (3) که به عنوان یک initialiser حافظه شناخته نمی شود هنگام کامپایل شدن با حافظه -fsanitize. sshd_config (5): استفاده از 2001: db8 :: / 32، زیر شبکه ی رسمی IPv6 برای نمونه های پیکربندی.
قابلیت حمل:
در محیط های پیکربندی شده با مکان های ترکی، به منظور جلوگیری از اشتباهات در تجزیه و تحلیل پیکربندی ناشی از رفتار منحصر به فرد این زبان با حروف "I" و "I"، به محلی C / POSIX برگشت می شود. bz # 2643
sftp-server (8)، ssh-agent (1): استفاده از ptrace را در OS X ممنوع کنید (PT_DENY_ATTACH، ..)
ssh (1)، sshd (8): رمزهای AES-CTR را بر روی OpenSSL قدیمی (0.9.8) باز کنید.
رفع کامپایل برای libcrypto کامپایل بدون پشتیبانی RIPEMD160.
contrib: gnome-ssh-askpass3 را با پشتیبانی GTK + 3 اضافه کنید. bz # 2640 sshd (8): PRNG را بهبود بخشید تا از طریق تقسیم امتیاز برسید و libcrypto را مجبور کنید تا بذر با کیفیت بالا را قبل از chroot یا sandbox کردن بگنجانید.

همه: به طور صریح برای تست های شکسته تست کنید. NetBSD یک ترولنویس را اضافه کرد و متاسفانه آن را با یک موجود در OpenBSD و لایبدس لینوکس (که بیش از 10 سال از آن گذشته است) ناسازگار ساخته است. سعی کنید این آشفتگی را تشخیص دهید و تنها گزینه ایمن را در صورتی که متقابل کامپایل شده است فرض کنیم.

چه جدید در نسخه 7.3 است:

امنیت:
sshd (8): یک حمله احتمالی انکار سرویس در برابر عملکرد crypt (3) سیستم را از طریق sshd (8) کاهش دهد. مهاجم می تواند رمزهای عبور بسیار طولانی را ارسال کند که باعث می شود CPU بیش از حد در crypt (3) ایجاد شود. sshd (8) در حال حاضر از پذیرش درخواست احراز هویت رمز عبور طولی بیش از 1024 نویسه خودداری میکند. مستقل از توماس کوتان (اوراکل)، آندرس روجا و جاویر نیتو گزارش شده است.
sshd (8): تفاوت های زمانی در احراز هویت رمز عبور را کاهش می دهد که می تواند برای شناسایی معتبر از نام های حساب نامعتبر هنگام ارسال رمز عبور طولانی و الگوریتم های هش کردن رمز عبور خاص در سرور استفاده شود. CVE-2016-6210، توسط EddieEzra.Harari در verint.com گزارش شده است
ssh (1)، sshd (8): ضعف زمانبندی قابل مشاهده در اقدامات مخفی اوراکل در CBC. گزارش شده توسط ژان پاول Degabriele، کنی پترسون، Torben هانسن و مارتین Albrecht. توجه داشته باشید که رمزهای CBC به طور پیش فرض غیر فعال شده اند و فقط برای سازگاری با نسخه های پیش فرض استفاده می شوند.ssh (1)، sshd (8): دستورالعمل عملیاتی برای تأیید MAC برای Encrypt-then-MAC (EtM) را بهبود بخشید. الگوریتم MAC برای تایید MAC قبل از رمزگشایی هر متن رمزنگاری شده است. این باعث می شود که اختلاف زمان در حال نابودی حقایق مربوط به متن ساده باشد، اما هیچ گونه نشتی مشاهده نشده است. گزارش شده توسط ژان پاول Degabriele، کنی پترسون، Torben هانسن و مارتین Albrecht. sshd (8): (فقط قابل حمل) وقتی UseLogin = yes، محیط محیط PAM را نادیده می گیرد. اگر PAM پیکربندی شده برای خواندن متغیرهای محیطی مشخص شده توسط کاربر و UseLogin = yes در sshd_config پیکربندی شود، پس یک کاربر محلی خصمانه میتواند از طریق LD_PRELOAD یا متغیرهای مشابه محیطی که از طریق PAM تنظیم شده است حمله به / bin / login باشد. CVE-2015-8325، توسط شایان صدیق یافت شده است.
ویژگی های جدید:
ssh (1): یک گزینه ProxyJump و پرچم خط-فرمان -J را به آن اضافه کنید تا از طریق یک یا چند بسکتبال SSH یا «پرش میزبان» سادهتر شود.
ssh (1): یک گزینه IdentityAgent را برای اجازه دادن به مشخص کردن سوکت عامل خاص به جای پذیرش یکی از محیط، اضافه کنید. ssh (1): در هنگام استفاده از ssh -W اجازه ExitOnForwardFailure و ClearAllForwardings را به صورت اختیاری مجاز بدانیم. bz # 2577ssh (1)، sshd (8): پشتیبانی از حالت ترمینال IUTF8 به صورت پیشفرض sgtatham-secsh-iutf8-00 را اجرا کنید. ssh (1)، sshd (8): اضافه کردن پشتیبانی برای گروه های دوم ثابت 2، 4K و 8K ثابت Diffie-Hellman از پیشوند-ietf-curdle-ssh-kex-sha2-03.
ssh-keygen (1)، ssh (1)، sshd (8): پشتیبانی از امضای SHA256 و SHA512 RSA در گواهینامه ها؛ ssh (1): دستورالعمل Include برای فایل ssh_config (5) را اضافه کنید.
ssh (1): اجازه دادن به کاراکترهای UTF-8 در آگهی های قبل از تصدیق از سرور. bz # 2058
رفع اشکالات:
ssh (1)، sshd (8): سطح Syslog را از برخی رویدادهای نسبتا رایج پروتکل از LOG_CRIT کاهش دهید. bz # 2585
sshd (8): AuthenticationMethods = "" را در تنظیمات رد کنید و قبول AuthenticationMethods = هر برای رفتار پیش فرض که نیازی به احراز هویت چندگانه ندارند. bz # 2398
sshd (8): حذف منسوخ و گمراه کننده "درگیری احتمال ممکن است!" پیام زمانی که به جلو و معکوس DNS مطابقت ندارد. bz # 2585
ssh (1): بستن پرونده فرمان controlPersist stderr به جز در حالت اشکال زدایی و یا هنگام ورود به syslog. bz # 1988
misc: توصیف PROTOCOL را برای پیام های open-channel open-streamlocal@openssh.com باز کنید. کد های مستقر شده را مطابقت دهید. bz # 2529

ssh (1): ورودی LocalForward و RemoteForward را برای اصلاح خرابی ها زمانی که هر دو ExitOnForwardFailure و نام میزبان canonicalisation فعال هستند. bz # 2562
sshd (8): حذف مجدد از ماژول به فایل منیجر "primes" که در سال 2001 منسوخ شد. bz # 2559.
sshd_config (5): توضیح درست UseDNS: بر روی پردازش نام میزبان ssh برای authorized_keys، not known_hosts تاثیر می گذارد؛ bz # 2554 ssh (1): احراز هویت با استفاده از کلید های گواهی تنها در یک عامل بدون کلید خصوصی مربوط به سیستم فایل ثابت. bz # 2550
sshd (8): هنگامی که یک RekeyLimit مبتنی بر زمان تنظیم می شود، Pings ClientAliveInterval را ارسال کنید؛ قبلا بسته های نگهداری شده ارسال نشد. bz # 2252

چه جدید در نسخه 7.2 است:

امنیت:
ssh (1)، sshd (8): حذف کد رومینگ ناتمام و استفاده نشده (در حال حاضر مجبور شد در OpenSSH 7.1p2 غیرفعال شود).
ssh (1): پسورد X11 را تا زمانی که سرور X غیرفعال کردن پسوند SECURITY را از پسوند X11 غیر قابل اعتماد منتقل کند، منتقل می کند.
ssh (1)، sshd (8): حداقل اندازه مدول را برای تبادل ترافیک به 2048 بیت افزایش دهید.
sshd (8): قبل از اتخاذ سندبلاست در حال حاضر به صورت پیش فرض فعال است (نسخه های قبلی آن را برای نصب های جدید از طریق sshd_config فعال کرده است).
ویژگی های جدید:
همه: اضافه کردن پشتیبانی از امضا RSA با استفاده از الگوریتم های هش SHA-256/512 بر اساس پیش نویس-rsa-dsa-sha2-256-03.txt و draft-ssh-ext-info-04.txt.
ssh (1): یک گزینه سرویس AddKeysToAgent اضافه کنید که می تواند به «بله»، «نه»، «درخواست» یا «تأیید» تنظیم شود و پیش فرض «نه» باشد. هنگامی که فعال می شود، یک کلید خصوصی که در هنگام احراز هویت استفاده می شود، اگر در حال اجرا است، با استفاده از ssh-agent به آن اضافه می شود (اگر با تایید فعال شود، اگر «تأیید» شود).sshd (8): گزینه new authorized_keys "محدود کردن" را که حاوی تمام محدودیت های فعلی و آینده کلید (no - * forwarding، و غیره) است را اضافه کنید. همچنین نسخه های مجاز محدودیت های موجود را اضافه کنید، برای مثال "no-pty" - & gt؛ "pty" این کار تنظیم کردن کلیدهای محدود را ساده کرده و تضمین می کند که آنها حداکثر محدود هستند، صرف نظر از هر گونه مجوزی که ممکن است در آینده اعمال کنیم. ssh (1): گزینه certificatefile ssh_config را اضافه کنید تا به صراحت لیست گواهی ها را وارد کنید. bz # 2436
ssh-keygen (1): اجازه دهید ssh-keygen را برای توضیح کلیدی برای تمام فرمت های پشتیبانی شده تغییر دهید.
ssh-keygen (1): امکان گرفتن اثر انگشت از ورودی استاندارد، به عنوان مثال "ssh-keygen -lf -"
ssh-keygen (1): اجازه می دهد تا کلیدهای عمومی متعدد در یک فایل اثر انگشت داشته باشد، برای مثال "ssh-keygen -lf ~ / .ssh / authorized_keys" bz # 1319
sshd (8): پشتیبانی "هیچ" به عنوان یک استدلال برای sshd_config پیش زمینه و ChrootDirectory. در داخل بلوک های مسابقه مفید است برای جلوگیری از پیش فرض جهانی. bz # 2486
ssh-keygen (1): پشتیبانی از چندین گواهی (یک در هر خط) و خواندن از ورودی استاندارد (با استفاده از "-f -") برای "ssh-keygen -L" ssh-keyscan (1): add "ssh-keyscan -c ... "برای اجازه دادن به اخذ گواهینامه ها به جای کلید های ساده.SSH (1): بهتر است دسته دار FQDNs لنگر (مانند «cvs.openbsd.org. ') در canonicalisation نام میزبان - درمان آنها به عنوان در حال حاضر متعارف و حذف انتهایی'. قبل از تطبیق ssh_config
رفع اشکالات:
sftp (1): دایرکتوری های موجود موجود نباید آپلود بازگشتی را قطع کنند (رگرسیون در openssh 6.8) bz # 2528
SSH (1)، SSHD (8): به درستی ارسال SSH2_MSG_UNIMPLEMENTED در طول تبادل کلید پاسخ به پیام های غیر منتظره. bz # 2949
SSH (1): رد تلاش برای ConnectionAttempts = 0، که معنی ندارد و باعث ssh به چاپ یک متغیر پشته بازبینی نشده. bz # 2500
ssh (1): در هنگام تلاش برای اتصال به آدرس های IPv6 محدوده شده با نام میزبان فعال سازی کاننالالیزاسیون خطاها را رفع می کند.
sshd_config (5): گزینه های دوگانه دیگری را که در بلوک های مسابقه استفاده می شوند، لیست کنید. bz # 2489
sshd (8): ثابت "PubkeyAcceptedKeyTypes + ..." داخل یک بلوک مسابقه. ssh (1): قبل از بررسی اینکه آیا فایل هویت وجود دارد یا نه، کاراکترهای tilde در نامهای فایل به گزینههای -i منتقل می شوند. از سردرگمی برای مواردی که پوسته گسترش نمی یابد (از جمله "-i ~ / file" در مقابل "-i ~ / file") اجتناب می شود. bz # 2481ssh (1): فرمان shell را که توسط «Match exec» در یک فایل config اجرا می شود را اجرا نکنید، که می تواند برخی از دستورات را در برخی از محیط ها شکست دهد. bz # 2471
ssh-keyscan (1): خروجی را برای میزبان های متعدد / adrs در یک خط ثابت زمانی که میزبان هش کردن یا یک پورت غیر استاندارد در حال استفاده است bz # 2479
sshd (8): هنگامی که ChrootDirectory فعال است، اسکریپت "Can not chdir to home directory" را امتحان کنید. bz # 2485
ssh (1): شامل PubkeyAcceptedKeyTypes در sump-g config dump. sshd (8): جلوگیری از تغییر پرچم های دستگاه TunnelForwarding اگر قبلا مورد نیاز است؛ امکان استفاده از شبکه tun / tap را به عنوان کاربر غیر ریشه امکان پذیر می کند اگر مجوز های دستگاه و پرچم های رابط از پیش تعیین شده باشند
ssh (1)، sshd (8): RekeyLimits می تواند توسط یک بسته تجاوز شود. bz # 2521
ssh (1): شکستن استارت چندگانه را متوجه شوید که خروج مشتری را متوجه شده است.
ssh (1)، ssh-agent (1): جلوگیری از مرگ () برای نشانگرهای PKCS11 که اعداد کلید خالی را نشان می دهند. bz # 1773
sshd (8): جلوگیری از printf از استدلال NULL. bz # 2535
ssh (1)، sshd (8): اجازه دهید RekeyLimits بزرگتر از 4GB. bz # 2521
ssh-keygen (1): sshd (8): رفع چندین اشکال در پشتیبانی از امضای KRL (استفاده نشده).ssh (1)، sshd (8): برقراری ارتباط با همتایان که از قابلیت پیش بینی مبادله کلیدی پروتکل استفاده می کنند. bz # 2515
sshd (8): شامل شماره پورت راه دور در پیام های ورودی است. bz # 2503
ssh (1): سعی نکنید بار خصوصی SSHv1 را بدون پشتیبانی SSHv1 کامپایل کنید. bz # 2505
ssh-agent (1)، ssh (1): پیام خطا نادرست را در هنگام بارگیری کلید و خطاهای امضای پیغام حل میکند. bz # 2507
ssh-keygen (1): در هنگام انجام ویرایش فایلهای شناخته شده_hosts زمانی که شناخته شده_hosts وجود ندارد، فایلهای موقت خالی را ترک نکنید.
sshd (8): فرمت بسته بندی درست برای پاسخهای tcpip-forward برای درخواستهایی که پورت bz # 2509 را اختصاص نمی دهند
ssh (1)، sshd (8): ممکن است قطع در خروجی بسته باشد. bz # 2469 ssh (1): expand٪ i در ControlPath به UID. bz # 2449
ssh (1)، sshd (8): fix type return از openssh_RSA_verify. bz # 2460
ssh (1)، sshd (8): برخی از گزینه های تجزیه نشت حافظه را رفع کنید. bz # 2182
ssh (1): قبل از حل و فصل DNS یک خروجی اشکال زدایی اضافه کنید؛ این مکان جایی است که SSH قبلا در مواردی از سرورهای DNS غیر فعال استفاده می کرد. bz # 2433 ssh (1): حذف خط جدید جعلی در میزبان میزبان بصری. bz # 2686
ssh (1): ثابت چاپ (ssh -G ...) از HostKeyAlgorithms = + ...
ssh (1): ثابت گسترش HostkeyAlgorithms = + ...مستندات:
ssh_config (5)، sshd_config (5): لیست های الگوریتم پیش فرض را به روز کنید تا با واقعیت جاری منطبق شوید. bz # 2527
ssh (1): ذکر -Q key-plain و -Q کلید-cert گزینه های پرس و جو. bz # 2455
sshd_config (8): واضح تر توصیف آنچه AuthorizedKeysFile = هیچ کدام انجام می دهد.
ssh_config (5): سند بهتر ExitOnForwardFailure. bz # 2444
sshd (5): ذکر کردن گروه های عقب مانده DH-GEX در کتابچه راهنمای کاربر. bz # 2302
sshd_config (5): شرح بهتر برای گزینه MaxSessions. bz # 2531
قابلیت حمل:
ssh (1)، sftp-server (8)، ssh-agent (1)، sshd (8): پشتیبانی از Illumus / Solaris ریزنمودنها. شامل یک ساندویچ قبل از auth privsep و چندین امضا (). bz # 2511
renhat redhat / openssh.spec، از بین بردن گزینه های متداول و نحو.
پیکربندی: اجازه --without-ssl-engine با --without-openssl
sshd (8): اصلاح چندگانه با استفاده از S / Key. bz # 2502
sshd (8): از libcrypto به عنوان خوانده شده از RAND_ قبل از رها کردن امتیازات. با BoringSSL از نقص های سندباکس جلوگیری می کند.
اصلاح برخورد نام با سیستم های ارائه glob (3) توابع. bz # 2463
هنگام ساخت کلید های میزبان، سازگاری از Makefile برای استفاده از ssh-keygen -A. bz # 2459پیکربندی: مقدار پیش فرض درست برای --with-ssh1 bz # 2457
پیکربندی: تشخیص بهتر از _res نماد bz # 2259
پشتیبانی از getrandom () syscall در لینوکس

چه جدید در نسخه 7.1 است:

امنیت:
sshd (8): OpenSSH 7.0 حاوی یک خطای منطقی در PermitRootLogin = prohibit-password / بدون-رمز عبور است که بسته به پیکربندی زمان کامپایل، می تواند اجازه ورود به سیستم را برای ریشه فراهم کند، در حالی که از سایر اشکال احراز هویت جلوگیری می کند. این مشکل توسط Mantas Mikulenas گزارش شده است.
رفع اشکالات:
ssh (1)، sshd (8): اضافه کردن راه حل های سازگاری برای FuTTY
ssh (1)، sshd (8): مسیرهای سازگاری را برای WinSCP تدوین کنید
تعدادی از گسل های حافظه (دو برابر، بدون حافظه uninitialised و غیره) را در ssh (1) و ssh-keygen (1) رفع کنید. گزارش شده توسط Mateusz Kocielski.

22 Jun 18

جستجو بر اساس طبقه بندی

OpenSSH

نرم افزار های دیگر از توسعه دهنده OpenBSD Project

OpenSMTPD

Portable OpenSSH

نظرات به OpenSSH

نظر یافت نشد

اضافه کردن نظر

جستجو بر اساس طبقه بندی

نرم افزار اخیرا مشاهده

Aes Edicion Spartan (Spanish) 25 May 15

جستجو بر اساس طبقه بندی

نرم افزار محبوب

Super Grub2 Disk 20 Jan 18

Lubuntu 16 Aug 18

Duck Duck Go Toolbar 3 Jun 15

OpenShot Video Editor 17 Aug 18

antiX MEPIS 19 Jun 17

LaTeX::BibTeX 14 Apr 15

Ubuntu MATE 16 Aug 18

OpenSSH

نرم افزار های دیگر از توسعه دهنده OpenBSD Project

OpenSMTPD

Portable OpenSSH

نظرات به OpenSSH

نظر یافت نشد

اضافه کردن نظر

نرم افزار اخیرا مشاهده

Aes Edicion Spartan (Spanish) 25 May 15

جستجو بر اساس طبقه بندی

نرم افزار محبوب

Macpup 19 Feb 15

Elastix 2 Oct 16

Kali Linux 22 Jun 18

Tor Browser 20 Jan 18

Zuma Deluxe 20 Feb 15

Quirky Linux 22 Jun 18

PCLinuxOS 22 Jun 18