OpenSSH

OpenSSH adalah proyek perangkat lunak sumber terbuka dan didistribusikan secara bebas, perpustakaan dan program baris perintah yang berjalan di latar belakang sistem operasi GNU / Linux Anda dan melindungi seluruh jaringan Anda dari penyusup dan penyerang. Ini adalah versi open source dari spesifikasi SSH (Secure Shell), yang khusus dirancang untuk

OpenSSH adalah proyek open source yang didistribusikan di bawah lisensi gratis. Ini menawarkan otentikasi yang kuat berdasarkan Kunci Publik, Kerberos Authentication dan One-Time Password standards, enkripsi kuat berdasarkan algoritma AES, Blowfish, Arcfour dan 3DES, X11 forwarding mendukung dengan mengenkripsi seluruh lalu lintas Sistem X Window, serta AFS dan Tiket Kerberos lewat.

Selain itu, port fitur perangkat lunak meneruskan dukungan dengan mengenkripsi saluran untuk protokol legacy, dukungan kompresi data, dukungan forwarding agen dengan menggunakan standar otentikasi Single-Sign-On (SSO) dan server SFTP (Secure FTP) dan dukungan klien baik SSH2 atau protokol SSH1.

Fitur lain yang menarik adalah interoperabilitas, yang berarti bahwa proyek sesuai dengan versi 1.3, 1.5 dan 2.0 dari protokol SSH (Secure Shell) asli. Setelah instalasi, OpenSSH akan secara otomatis mengganti program FTP, Telnet, RCP dan rlogin standar dengan versi yang aman, seperti SFTP, SCP dan SSH.

Proyek OpenSSH ditulis seluruhnya dalam bahasa pemrograman C. Ini terdiri dari implementasi SSH utama dan daemon SSH, yang berjalan di latar belakang. Perangkat lunak ini didistribusikan terutama sebagai arsip sumber universal, yang akan bekerja dengan sistem operasi GNU / Linux baik pada arsitektur 32-bit dan 64-bit.

Versi portabel dari protokol OpenSSH juga tersedia untuk diunduh di Softoware, gratis, yang disebut Portable OpenSSH. Ini adalah implementasi open source dari SSH versi 1 dan protokol SSH versi 2 untuk sistem operasi Linux, BSD dan Solaris.

Apa yang baru dalam rilis ini:

• Perubahan yang mungkin tidak kompatibel:
• Rilis ini menyertakan sejumlah perubahan yang dapat memengaruhi konfigurasi yang ada:
• Rilis ini menghapus dukungan server untuk protokol SSH v.1.
• ssh (1): Hapus 3des-cbc dari proposal default klien. 64-bit block cipher tidak aman pada tahun 2016 dan kami tidak ingin menunggu sampai serangan seperti SWEET32 diperluas ke SSH. Karena 3des-cbc adalah satu-satunya cipher wajib dalam SSH RFC, ini dapat menyebabkan masalah menghubungkan ke perangkat yang lebih tua menggunakan konfigurasi default, tetapi sangat mungkin bahwa perangkat tersebut sudah memerlukan konfigurasi eksplisit untuk pertukaran kunci dan algoritma hostkey. sshd (8): Hapus dukungan untuk kompresi pra-otentikasi. Melakukan kompresi di awal protokol mungkin tampak masuk akal pada 1990-an, tetapi hari ini jelas merupakan ide yang buruk baik dari segi kriptografi (lih. Beberapa serangan oracle kompresi di TLS) dan permukaan serangan. Dukungan kompresi pra-auth telah dinonaktifkan secara default untuk & gt; 10 tahun. Dukungan tetap ada di klien. ssh-agent akan menolak memuat modul PKCS # 11 di luar daftar putih jalur tepercaya secara default. Daftar putih jalur dapat ditentukan pada saat run-time.
• sshd (8): Ketika perintah paksa muncul di sertifikat dan perintah kunci / kepala komando yang berwenang = pembatasan, sshd sekarang akan menolak untuk menerima sertifikat kecuali mereka identik. Perilaku sebelumnya (didokumentasikan) memiliki sertifikat memaksa-perintah menimpa yang lain bisa sedikit membingungkan dan rawan kesalahan. sshd (8): Hapus direktif konfigurasi UseLogin dan dukungan untuk memiliki / bin / login mengelola sesi login.
• Perubahan sejak OpenSSH 7.3:
• Keamanan:
• ssh-agent (1): Sekarang akan menolak memuat modul PKCS # 11 dari jalur di luar daftar putih tepercaya (run-time configurable). Permintaan untuk memuat modul dapat diteruskan melalui agen forwarding dan penyerang dapat mencoba untuk memuat modul PKCS # 11 yang tidak bersahabat di seluruh saluran agen yang diteruskan: modul PKCS # 11 adalah pustaka bersama, jadi ini akan menghasilkan eksekusi kode pada sistem yang menjalankan ssh -jika jika penyerang memiliki kontrol terhadap soket agen yang diteruskan (pada host yang menjalankan server sshd) dan kemampuan untuk menulis ke sistem berkas host yang menjalankan ssh-agent (biasanya host yang menjalankan klien ssh). Dilaporkan oleh Jann Horn dari Project Zero.
• sshd (8): Ketika pemisahan hak istimewa dinonaktifkan, soket Unix-domain yang diteruskan akan dibuat oleh sshd (8) dengan hak istimewa dari 'root' alih-alih pengguna yang diautentikasi. Rilis ini menolak penerus sambungan Unix-domain ketika pemisahan hak istimewa dinonaktifkan (Pemisahan privilege telah diaktifkan secara default selama 14 tahun). Dilaporkan oleh Jann Horn dari Project Zero.
• sshd (8): Hindari kebocoran materi kunci pribadi tuan rumah secara rahasia ke proses anak yang dipisahkan hak istimewa melalui realloc () saat membaca kunci. Tidak ada kebocoran yang diamati dalam praktek untuk kunci berukuran normal, juga tidak bocor ke proses anak secara langsung mengekspos materi kunci untuk pengguna yang tidak berhak. Dilaporkan oleh Jann Horn dari Project Zero.
• sshd (8): Manajer memori bersama yang digunakan oleh dukungan kompresi pra-otentikasi memiliki pemeriksaan batas yang dapat ditelusuri oleh beberapa pengoptimalisasi kompiler. Selain itu, manajer memori ini tidak dapat diakses dengan benar ketika kompresi pra-otentikasi dinonaktifkan. Ini berpotensi memungkinkan serangan terhadap proses monitor istimewa dari proses pemisahan privat-pemisahan kotak pasir (kompromi yang terakhir akan diperlukan pertama). Rilis ini menghilangkan dukungan untuk kompresi pra-otentikasi dari sshd (8). Dilaporkan oleh Guido Vranken menggunakan alat identifikasi pengoptimalan Stack yang tidak stabil (http://css.csail.mit.edu/stack/)
• sshd (8): Perbaiki kondisi denial-of-service di mana penyerang yang mengirim beberapa pesan KEXINIT dapat menghabiskan hingga 128MB per sambungan. Dilaporkan oleh Shi Lei dari Gear Team, Qihoo 360.
• sshd (8): Memvalidasi rentang alamat untuk petunjuk AllowUser dan DenyUsers di waktu buka konfigurasi dan menolak untuk menerima yang tidak valid. Sebelumnya mungkin untuk menentukan rentang alamat CIDR yang tidak valid (misalnya pengguna@127.1.2.3/55) dan ini akan selalu cocok, mungkin menghasilkan pemberian akses jika tidak dimaksudkan. Dilaporkan oleh Laurence Parry.
• Fitur Baru:
• ssh (1): Tambahkan mode multiplexing proxy ke ssh (1) yang terinspirasi oleh versi di PuTTY oleh Simon Tatham. Hal ini memungkinkan klien multiplexing untuk berkomunikasi dengan proses master menggunakan subset dari paket SSH dan protokol saluran melalui soket Unix-domain, dengan proses utama bertindak sebagai proxy yang menerjemahkan ID saluran, dll. Ini memungkinkan mode multiplexing berjalan di sistem yang tidak memiliki file-descriptor passing (digunakan oleh kode multiplexing saat ini) dan berpotensi, dalam hubungannya dengan forwarding socket Unix-domain, dengan proses master multiplexing klien pada mesin yang berbeda. Mode proksi multiplexing dapat dipanggil menggunakan & quot; ssh -O proxy ... & quot;
• sshd (8): Tambahkan opsi sshd_config DisableForwarding yang menonaktifkan X11, agen, TCP, tunnel, dan penerusan soket domain Unix, serta hal lain yang mungkin kami terapkan di masa mendatang. Seperti tanda 'membatasi' authorized_keys, ini dimaksudkan untuk menjadi cara yang sederhana dan masa depan-bukti untuk membatasi akun.
• sshd (8), ssh (1): Mendukung & quot; curve25519-sha256 & quot; metode pertukaran kunci. Ini identik dengan metode yang saat ini didukung bernama & quot; curve25519-sha256@libssh.org".
• sshd (8): Tingkatkan penanganan SIGHUP dengan memeriksa untuk melihat apakah sshd sudah di-daemonisasi saat startup dan melewati panggilan ke daemon (3) jika memang demikian. Ini memastikan bahwa SIGHUP restart sshd (8) akan mempertahankan ID-proses yang sama dengan eksekusi awal. sshd (8) juga akan memutus tautan PidFile sebelum SIGHUP restart dan membuatnya kembali setelah restart yang sukses, daripada meninggalkan file basi dalam kasus kesalahan konfigurasi. bz # 2641
• sshd (8): Memungkinkan arahan ClientAliveInterval dan ClientAliveCountMax untuk muncul di blok sshd_config Match.
• sshd (8): Tambahkan% -lacak ke AuthorizedPrincipalsCommand agar cocok dengan yang didukung oleh AuthorizedKeysCommand (kunci, jenis kunci, sidik jari, dll.) dan beberapa lagi untuk menyediakan akses ke konten sertifikat yang ditawarkan.
• Menambahkan tes regresi untuk pencocokan string, pencocokan alamat, dan fungsi sanitisasi string.
• Memperbaiki harness fuzzer gantungan kunci.
• Perbaikan bug:
• ssh (1): Izinkan IdentityFile untuk memuat dan menggunakan sertifikat yang tidak memiliki kunci publik kosong yang sesuai. bz # 2617 sertifikat id_rsa-cert.pub (dan tidak ada id_rsa.pub).
• ssh (1): Memperbaiki otentikasi kunci publik ketika beberapa otentikasi sedang digunakan dan publickey bukan hanya metode pertama yang dicoba. bz # 2642
• kemunduran: Biarkan tes interop PuTTY berjalan tanpa pengawasan. bz # 2639
• ssh-agent (1), ssh (1): meningkatkan pelaporan ketika mencoba untuk memuat kunci dari token PKCS # 11 dengan lebih sedikit pesan log yang tidak berguna dan lebih detail dalam pesan debug. bz # 2610
• ssh (1): Saat meruntuhkan koneksi ControlMaster, jangan mencemari stderr ketika LogLevel = diam.
• sftp (1): On ^ Z menunggu ssh yang mendasari (1) untuk menangguhkan sebelum menangguhkan sftp (1) untuk memastikan bahwa ssh (1) mengembalikan mode terminal dengan benar jika ditangguhkan selama permintaan kata sandi.
• ssh (1): Hindari sibuk-menunggu ketika ssh (1) ditangguhkan selama permintaan kata sandi.
• ssh (1), sshd (8): Koreksi kesalahan secara benar saat mengirim pesan info-info.
• sshd (8): memperbaiki NULL-deref crash jika sshd (8) menerima pesan NEWKEYS yang tidak sesuai urutan.
• sshd (8): Daftar yang benar dari algoritme tanda tangan yang didukung yang dikirim dalam ekstensi server-sig-algs. bz # 2547
• sshd (8): Memperbaiki pengiriman pesan ext_info jika privsep dinonaktifkan.
• sshd (8): lebih ketat menegakkan pemesanan yang diharapkan dari pemindaian panggilan privilege pemisahan yang digunakan untuk otentikasi dan memungkinkan mereka hanya ketika metode otentikasi masing-masing diaktifkan dalam konfigurasi
• sshd (8): Perbaiki opsi yang tidak diinisiasi dalam mode getockopt (); tidak berbahaya di Unix / BSD tetapi berpotensi crash di Cygwin.
• Perbaiki laporan positif palsu yang disebabkan oleh explicit_bzero (3) tidak diakui sebagai inisitor memori saat dikompilasi dengan -fsanitize-memory. sshd_config (5): Gunakan 2001: db8 :: / 32, subnet IPv6 resmi untuk contoh konfigurasi.
• Portabilitas:
• Pada lingkungan yang dikonfigurasi dengan lokal Turki, kembali ke lokal C / POSIX untuk menghindari kesalahan dalam parsing konfigurasi yang disebabkan oleh penanganan unik dari huruf 'i' dan 'I'. bz # 2643
• sftp-server (8), ssh-agent (1): Deny ptrace pada OS X menggunakan ptrace (PT_DENY_ATTACH, ..)
• ssh (1), sshd (8): Unbreak AES-CTR cipher pada lama (~ 0.9.8) OpenSSL.
• Perbaiki kompilasi untuk libcrypto dikompilasi tanpa dukungan RIPEMD160.
• contrib: Tambahkan gnome-ssh-askpass3 dengan dukungan GTK + 3. bz # 2640 sshd (8): Tingkatkan PRNG reseeding di pemisahan hak istimewa dan paksakan libcrypto untuk mendapatkan benih berkualitas tinggi sebelum chroot atau sandboxing.
• Semua: Secara eksplisit menguji strnvis yang rusak. NetBSD menambahkan strnvis dan sayangnya membuatnya tidak kompatibel dengan yang ada di OpenBSD dan libbsd Linux (yang sebelumnya sudah ada selama lebih dari sepuluh tahun). Cobalah untuk mendeteksi kekacauan ini, dan asumsikan satu-satunya opsi aman jika kami melakukan kompilasi silang.

Apa yang baru dalam versi:

• Perubahan yang mungkin tidak kompatibel:
• Rilis ini menyertakan sejumlah perubahan yang dapat memengaruhi konfigurasi yang ada:
• Rilis ini menghapus dukungan server untuk protokol SSH v.1.
• ssh (1): Hapus 3des-cbc dari proposal default klien. 64-bit block cipher tidak aman pada tahun 2016 dan kami tidak ingin menunggu sampai serangan seperti SWEET32 diperluas ke SSH. Karena 3des-cbc adalah satu-satunya cipher wajib dalam SSH RFC, ini dapat menyebabkan masalah menghubungkan ke perangkat yang lebih tua menggunakan konfigurasi default, tetapi sangat mungkin bahwa perangkat tersebut sudah memerlukan konfigurasi eksplisit untuk pertukaran kunci dan algoritma hostkey. sshd (8): Hapus dukungan untuk kompresi pra-otentikasi. Melakukan kompresi di awal protokol mungkin tampak masuk akal pada 1990-an, tetapi hari ini jelas merupakan ide yang buruk baik dari segi kriptografi (lih. Beberapa serangan oracle kompresi di TLS) dan permukaan serangan. Dukungan kompresi pra-auth telah dinonaktifkan secara default untuk & gt; 10 tahun. Dukungan tetap ada di klien. ssh-agent akan menolak memuat modul PKCS # 11 di luar daftar putih jalur tepercaya secara default. Daftar putih jalur dapat ditentukan pada saat run-time.
• sshd (8): Ketika perintah paksa muncul di sertifikat dan perintah kunci / kepala komando yang berwenang = pembatasan, sshd sekarang akan menolak untuk menerima sertifikat kecuali mereka identik. Perilaku sebelumnya (didokumentasikan) memiliki sertifikat memaksa-perintah menimpa yang lain bisa sedikit membingungkan dan rawan kesalahan. sshd (8): Hapus direktif konfigurasi UseLogin dan dukungan untuk memiliki / bin / login mengelola sesi login.
• Perubahan sejak OpenSSH 7.3:
• Keamanan:
• ssh-agent (1): Sekarang akan menolak memuat modul PKCS # 11 dari jalur di luar daftar putih tepercaya (run-time configurable). Permintaan untuk memuat modul dapat diteruskan melalui agen forwarding dan penyerang dapat mencoba untuk memuat modul PKCS # 11 yang tidak bersahabat di seluruh saluran agen yang diteruskan: modul PKCS # 11 adalah pustaka bersama, jadi ini akan menghasilkan eksekusi kode pada sistem yang menjalankan ssh -jika jika penyerang memiliki kontrol terhadap soket agen yang diteruskan (pada host yang menjalankan server sshd) dan kemampuan untuk menulis ke sistem berkas host yang menjalankan ssh-agent (biasanya host yang menjalankan klien ssh). Dilaporkan oleh Jann Horn dari Project Zero.
• sshd (8): Ketika pemisahan hak istimewa dinonaktifkan, soket Unix-domain yang diteruskan akan dibuat oleh sshd (8) dengan hak istimewa dari 'root' alih-alih pengguna yang diautentikasi. Rilis ini menolak penerus sambungan Unix-domain ketika pemisahan hak istimewa dinonaktifkan (Pemisahan privilege telah diaktifkan secara default selama 14 tahun). Dilaporkan oleh Jann Horn dari Project Zero.
• sshd (8): Hindari kebocoran materi kunci pribadi tuan rumah secara rahasia ke proses anak yang dipisahkan hak istimewa melalui realloc () saat membaca kunci. Tidak ada kebocoran yang diamati dalam praktek untuk kunci berukuran normal, juga tidak bocor ke proses anak secara langsung mengekspos materi kunci untuk pengguna yang tidak berhak. Dilaporkan oleh Jann Horn dari Project Zero.
• sshd (8): Manajer memori bersama yang digunakan oleh dukungan kompresi pra-otentikasi memiliki pemeriksaan batas yang dapat ditelusuri oleh beberapa pengoptimalisasi kompiler. Selain itu, manajer memori ini tidak dapat diakses dengan benar ketika kompresi pra-otentikasi dinonaktifkan. Ini berpotensi memungkinkan serangan terhadap proses monitor istimewa dari proses pemisahan privat-pemisahan kotak pasir (kompromi yang terakhir akan diperlukan pertama). Rilis ini menghilangkan dukungan untuk kompresi pra-otentikasi dari sshd (8). Dilaporkan oleh Guido Vranken menggunakan alat identifikasi pengoptimalan Stack yang tidak stabil (http://css.csail.mit.edu/stack/)
• sshd (8): Perbaiki kondisi denial-of-service di mana penyerang yang mengirim beberapa pesan KEXINIT dapat menghabiskan hingga 128MB per sambungan. Dilaporkan oleh Shi Lei dari Gear Team, Qihoo 360.
• sshd (8): Memvalidasi rentang alamat untuk petunjuk AllowUser dan DenyUsers di waktu buka konfigurasi dan menolak untuk menerima yang tidak valid. Sebelumnya mungkin untuk menentukan rentang alamat CIDR yang tidak valid (misalnya pengguna@127.1.2.3/55) dan ini akan selalu cocok, mungkin menghasilkan pemberian akses jika tidak dimaksudkan. Dilaporkan oleh Laurence Parry.
• Fitur Baru:
• ssh (1): Tambahkan mode multiplexing proxy ke ssh (1) yang terinspirasi oleh versi di PuTTY oleh Simon Tatham. Hal ini memungkinkan klien multiplexing untuk berkomunikasi dengan proses master menggunakan subset dari paket SSH dan protokol saluran melalui soket Unix-domain, dengan proses utama bertindak sebagai proxy yang menerjemahkan ID saluran, dll. Ini memungkinkan mode multiplexing berjalan di sistem yang tidak memiliki file-descriptor passing (digunakan oleh kode multiplexing saat ini) dan berpotensi, dalam hubungannya dengan forwarding socket Unix-domain, dengan proses master multiplexing klien pada mesin yang berbeda. Mode proksi multiplexing dapat dipanggil menggunakan & quot; ssh -O proxy ... & quot;
• sshd (8): Tambahkan opsi sshd_config DisableForwarding yang menonaktifkan X11, agen, TCP, tunnel, dan penerusan soket domain Unix, serta hal lain yang mungkin kami terapkan di masa mendatang. Seperti tanda 'membatasi' authorized_keys, ini dimaksudkan untuk menjadi cara yang sederhana dan masa depan-bukti untuk membatasi akun.
• sshd (8), ssh (1): Mendukung & quot; curve25519-sha256 & quot; metode pertukaran kunci. Ini identik dengan metode yang saat ini didukung bernama & quot; curve25519-sha256@libssh.org".
• sshd (8): Tingkatkan penanganan SIGHUP dengan memeriksa untuk melihat apakah sshd sudah di-daemonisasi saat startup dan melewati panggilan ke daemon (3) jika memang demikian. Ini memastikan bahwa SIGHUP restart sshd (8) akan mempertahankan ID-proses yang sama dengan eksekusi awal. sshd (8) juga akan memutus tautan PidFile sebelum SIGHUP restart dan membuatnya kembali setelah restart yang sukses, daripada meninggalkan file basi dalam kasus kesalahan konfigurasi. bz # 2641
• sshd (8): Memungkinkan arahan ClientAliveInterval dan ClientAliveCountMax untuk muncul di blok sshd_config Match.
• sshd (8): Tambahkan% -lacak ke AuthorizedPrincipalsCommand agar cocok dengan yang didukung oleh AuthorizedKeysCommand (kunci, jenis kunci, sidik jari, dll.) dan beberapa lagi untuk menyediakan akses ke konten sertifikat yang ditawarkan.
• Menambahkan tes regresi untuk pencocokan string, pencocokan alamat, dan fungsi sanitisasi string.
• Memperbaiki harness fuzzer gantungan kunci.
• Perbaikan bug:
• ssh (1): Izinkan IdentityFile untuk memuat dan menggunakan sertifikat yang tidak memiliki kunci publik kosong yang sesuai. bz # 2617 sertifikat id_rsa-cert.pub (dan tidak ada id_rsa.pub).
• ssh (1): Memperbaiki otentikasi kunci publik ketika beberapa otentikasi sedang digunakan dan publickey bukan hanya metode pertama yang dicoba. bz # 2642
• kemunduran: Biarkan tes interop PuTTY berjalan tanpa pengawasan. bz # 2639
• ssh-agent (1), ssh (1): meningkatkan pelaporan ketika mencoba untuk memuat kunci dari token PKCS # 11 dengan lebih sedikit pesan log yang tidak berguna dan lebih detail dalam pesan debug. bz # 2610
• ssh (1): Saat meruntuhkan koneksi ControlMaster, jangan mencemari stderr ketika LogLevel = diam.
• sftp (1): On ^ Z menunggu ssh yang mendasari (1) untuk menangguhkan sebelum menangguhkan sftp (1) untuk memastikan bahwa ssh (1) mengembalikan mode terminal dengan benar jika ditangguhkan selama permintaan kata sandi.
• ssh (1): Hindari sibuk-menunggu ketika ssh (1) ditangguhkan selama permintaan kata sandi.
• ssh (1), sshd (8): Koreksi kesalahan secara benar saat mengirim pesan info-info.
• sshd (8): memperbaiki NULL-deref crash jika sshd (8) menerima pesan NEWKEYS yang tidak sesuai urutan.
• sshd (8): Daftar yang benar dari algoritme tanda tangan yang didukung yang dikirim dalam ekstensi server-sig-algs. bz # 2547
• sshd (8): Memperbaiki pengiriman pesan ext_info jika privsep dinonaktifkan.
• sshd (8): lebih ketat menegakkan pemesanan yang diharapkan dari pemindaian panggilan privilege pemisahan yang digunakan untuk otentikasi dan memungkinkan mereka hanya ketika metode otentikasi masing-masing diaktifkan dalam konfigurasi
• sshd (8): Perbaiki opsi yang tidak diinisiasi dalam mode getockopt (); tidak berbahaya di Unix / BSD tetapi berpotensi crash di Cygwin.
• Perbaiki laporan positif palsu yang disebabkan oleh explicit_bzero (3) tidak diakui sebagai inisitor memori saat dikompilasi dengan -fsanitize-memory. sshd_config (5): Gunakan 2001: db8 :: / 32, subnet IPv6 resmi untuk contoh konfigurasi.
• Portabilitas:
• Pada lingkungan yang dikonfigurasi dengan lokal Turki, kembali ke lokal C / POSIX untuk menghindari kesalahan dalam parsing konfigurasi yang disebabkan oleh penanganan unik dari huruf 'i' dan 'I'. bz # 2643
• sftp-server (8), ssh-agent (1): Deny ptrace pada OS X menggunakan ptrace (PT_DENY_ATTACH, ..)
• ssh (1), sshd (8): Unbreak AES-CTR cipher pada lama (~ 0.9.8) OpenSSL.
• Perbaiki kompilasi untuk libcrypto dikompilasi tanpa dukungan RIPEMD160.
• contrib: Tambahkan gnome-ssh-askpass3 dengan dukungan GTK + 3. bz # 2640 sshd (8): Tingkatkan PRNG reseeding di pemisahan hak istimewa dan paksakan libcrypto untuk mendapatkan benih berkualitas tinggi sebelum chroot atau sandboxing.
• Semua: Secara eksplisit menguji strnvis yang rusak. NetBSD menambahkan strnvis dan sayangnya membuatnya tidak kompatibel dengan yang ada di OpenBSD dan libbsd Linux (yang sebelumnya sudah ada selama lebih dari sepuluh tahun). Cobalah untuk mendeteksi kekacauan ini, dan asumsikan satu-satunya opsi aman jika kami melakukan kompilasi silang.

Apa yang baru di versi 7.4:

• Perubahan yang mungkin tidak kompatibel:
• Rilis ini menyertakan sejumlah perubahan yang dapat memengaruhi konfigurasi yang ada:
• Rilis ini menghapus dukungan server untuk protokol SSH v.1.
• ssh (1): Hapus 3des-cbc dari proposal default klien. 64-bit block cipher tidak aman pada tahun 2016 dan kami tidak ingin menunggu sampai serangan seperti SWEET32 diperluas ke SSH. Karena 3des-cbc adalah satu-satunya cipher wajib dalam SSH RFC, ini dapat menyebabkan masalah menghubungkan ke perangkat yang lebih tua menggunakan konfigurasi default, tetapi sangat mungkin bahwa perangkat tersebut sudah memerlukan konfigurasi eksplisit untuk pertukaran kunci dan algoritma hostkey. sshd (8): Hapus dukungan untuk kompresi pra-otentikasi. Melakukan kompresi di awal protokol mungkin tampak masuk akal pada 1990-an, tetapi hari ini jelas merupakan ide yang buruk baik dari segi kriptografi (lih. Beberapa serangan oracle kompresi di TLS) dan permukaan serangan. Dukungan kompresi pra-auth telah dinonaktifkan secara default untuk & gt; 10 tahun. Dukungan tetap ada di klien. ssh-agent akan menolak memuat modul PKCS # 11 di luar daftar putih jalur tepercaya secara default. Daftar putih jalur dapat ditentukan pada saat run-time.
• sshd (8): Ketika perintah paksa muncul di sertifikat dan perintah kunci / kepala komando yang berwenang = pembatasan, sshd sekarang akan menolak untuk menerima sertifikat kecuali mereka identik. Perilaku sebelumnya (didokumentasikan) memiliki sertifikat memaksa-perintah menimpa yang lain bisa sedikit membingungkan dan rawan kesalahan. sshd (8): Hapus direktif konfigurasi UseLogin dan dukungan untuk memiliki / bin / login mengelola sesi login.
• Perubahan sejak OpenSSH 7.3:
• Keamanan:
• ssh-agent (1): Sekarang akan menolak memuat modul PKCS # 11 dari jalur di luar daftar putih tepercaya (run-time configurable). Permintaan untuk memuat modul dapat diteruskan melalui agen forwarding dan penyerang dapat mencoba untuk memuat modul PKCS # 11 yang tidak bersahabat di seluruh saluran agen yang diteruskan: modul PKCS # 11 adalah pustaka bersama, jadi ini akan menghasilkan eksekusi kode pada sistem yang menjalankan ssh -jika jika penyerang memiliki kontrol terhadap soket agen yang diteruskan (pada host yang menjalankan server sshd) dan kemampuan untuk menulis ke sistem berkas host yang menjalankan ssh-agent (biasanya host yang menjalankan klien ssh). Dilaporkan oleh Jann Horn dari Project Zero.
• sshd (8): Ketika pemisahan hak istimewa dinonaktifkan, soket Unix-domain yang diteruskan akan dibuat oleh sshd (8) dengan hak istimewa dari 'root' alih-alih pengguna yang diautentikasi. Rilis ini menolak penerus sambungan Unix-domain ketika pemisahan hak istimewa dinonaktifkan (Pemisahan privilege telah diaktifkan secara default selama 14 tahun). Dilaporkan oleh Jann Horn dari Project Zero.
• sshd (8): Hindari kebocoran materi kunci pribadi tuan rumah secara rahasia ke proses anak yang dipisahkan hak istimewa melalui realloc () saat membaca kunci. Tidak ada kebocoran yang diamati dalam praktek untuk kunci berukuran normal, juga tidak bocor ke proses anak secara langsung mengekspos materi kunci untuk pengguna yang tidak berhak. Dilaporkan oleh Jann Horn dari Project Zero.
• sshd (8): Manajer memori bersama yang digunakan oleh dukungan kompresi pra-otentikasi memiliki pemeriksaan batas yang dapat ditelusuri oleh beberapa pengoptimalisasi kompiler. Selain itu, manajer memori ini tidak dapat diakses dengan benar ketika kompresi pra-otentikasi dinonaktifkan. Ini berpotensi memungkinkan serangan terhadap proses monitor istimewa dari proses pemisahan privat-pemisahan kotak pasir (kompromi yang terakhir akan diperlukan pertama). Rilis ini menghilangkan dukungan untuk kompresi pra-otentikasi dari sshd (8). Dilaporkan oleh Guido Vranken menggunakan alat identifikasi pengoptimalan Stack yang tidak stabil (http://css.csail.mit.edu/stack/)
• sshd (8): Perbaiki kondisi denial-of-service di mana penyerang yang mengirim beberapa pesan KEXINIT dapat menghabiskan hingga 128MB per sambungan. Dilaporkan oleh Shi Lei dari Gear Team, Qihoo 360.
• sshd (8): Memvalidasi rentang alamat untuk petunjuk AllowUser dan DenyUsers di waktu buka konfigurasi dan menolak untuk menerima yang tidak valid. Sebelumnya mungkin untuk menentukan rentang alamat CIDR yang tidak valid (misalnya pengguna@127.1.2.3/55) dan ini akan selalu cocok, mungkin menghasilkan pemberian akses jika tidak dimaksudkan. Dilaporkan oleh Laurence Parry.
• Fitur Baru:
• ssh (1): Tambahkan mode multiplexing proxy ke ssh (1) yang terinspirasi oleh versi di PuTTY oleh Simon Tatham. Hal ini memungkinkan klien multiplexing untuk berkomunikasi dengan proses master menggunakan subset dari paket SSH dan protokol saluran melalui soket Unix-domain, dengan proses utama bertindak sebagai proxy yang menerjemahkan ID saluran, dll. Ini memungkinkan mode multiplexing berjalan di sistem yang tidak memiliki file-descriptor passing (digunakan oleh kode multiplexing saat ini) dan berpotensi, dalam hubungannya dengan forwarding socket Unix-domain, dengan proses master multiplexing klien pada mesin yang berbeda. Mode proksi multiplexing dapat dipanggil menggunakan "ssh -O proxy ..."
• sshd (8): Tambahkan opsi sshd_config DisableForwarding yang menonaktifkan X11, agen, TCP, tunnel, dan penerusan soket domain Unix, serta hal lain yang mungkin kami terapkan di masa mendatang. Seperti tanda 'membatasi' authorized_keys, ini dimaksudkan untuk menjadi cara yang sederhana dan masa depan-bukti untuk membatasi akun.
• sshd (8), ssh (1): Mendukung metode pertukaran kunci "curve25519-sha256". Ini identik dengan metode yang saat ini didukung bernama "curve25519-sha256@libssh.org".
• sshd (8): Tingkatkan penanganan SIGHUP dengan memeriksa untuk melihat apakah sshd sudah di-daemonisasi saat startup dan melewati panggilan ke daemon (3) jika memang demikian. Ini memastikan bahwa SIGHUP restart sshd (8) akan mempertahankan ID-proses yang sama dengan eksekusi awal. sshd (8) juga akan memutus tautan PidFile sebelum SIGHUP restart dan membuatnya kembali setelah restart yang sukses, daripada meninggalkan file basi dalam kasus kesalahan konfigurasi. bz # 2641
• sshd (8): Memungkinkan arahan ClientAliveInterval dan ClientAliveCountMax untuk muncul di blok sshd_config Match.
• sshd (8): Tambahkan% -lacak ke AuthorizedPrincipalsCommand agar cocok dengan yang didukung oleh AuthorizedKeysCommand (kunci, jenis kunci, sidik jari, dll.) dan beberapa lagi untuk menyediakan akses ke konten sertifikat yang ditawarkan.
• Menambahkan tes regresi untuk pencocokan string, pencocokan alamat, dan fungsi sanitisasi string.
• Memperbaiki harness fuzzer gantungan kunci.
• Perbaikan bug:
• ssh (1): Izinkan IdentityFile untuk memuat dan menggunakan sertifikat yang tidak memiliki kunci publik kosong yang sesuai. bz # 2617 sertifikat id_rsa-cert.pub (dan tidak ada id_rsa.pub).
• ssh (1): Memperbaiki otentikasi kunci publik ketika beberapa otentikasi sedang digunakan dan publickey bukan hanya metode pertama yang dicoba. bz # 2642
• kemunduran: Biarkan tes interop PuTTY berjalan tanpa pengawasan. bz # 2639
• ssh-agent (1), ssh (1): meningkatkan pelaporan ketika mencoba untuk memuat kunci dari token PKCS # 11 dengan lebih sedikit pesan log yang tidak berguna dan lebih detail dalam pesan debug. bz # 2610
• ssh (1): Saat meruntuhkan koneksi ControlMaster, jangan mencemari stderr ketika LogLevel = diam.
• sftp (1): On ^ Z menunggu ssh yang mendasari (1) untuk menangguhkan sebelum menangguhkan sftp (1) untuk memastikan bahwa ssh (1) mengembalikan mode terminal dengan benar jika ditangguhkan selama permintaan kata sandi.
• ssh (1): Hindari sibuk-menunggu ketika ssh (1) ditangguhkan selama permintaan kata sandi.
• ssh (1), sshd (8): Koreksi kesalahan secara benar saat mengirim pesan info-info.
• sshd (8): memperbaiki NULL-deref crash jika sshd (8) menerima pesan NEWKEYS yang tidak sesuai urutan.
• sshd (8): Daftar yang benar dari algoritme tanda tangan yang didukung yang dikirim dalam ekstensi server-sig-algs. bz # 2547
• sshd (8): Memperbaiki pengiriman pesan ext_info jika privsep dinonaktifkan.
• sshd (8): lebih ketat menegakkan pemesanan yang diharapkan dari pemindaian panggilan privilege pemisahan yang digunakan untuk otentikasi dan memungkinkan mereka hanya ketika metode otentikasi masing-masing diaktifkan dalam konfigurasi
• sshd (8): Perbaiki opsi yang tidak diinisiasi dalam mode getockopt (); tidak berbahaya di Unix / BSD tetapi berpotensi crash di Cygwin.
• Perbaiki laporan positif palsu yang disebabkan oleh explicit_bzero (3) tidak diakui sebagai inisitor memori saat dikompilasi dengan -fsanitize-memory. sshd_config (5): Gunakan 2001: db8 :: / 32, subnet IPv6 resmi untuk contoh konfigurasi.
• Portabilitas:
• Pada lingkungan yang dikonfigurasi dengan lokal Turki, kembali ke lokal C / POSIX untuk menghindari kesalahan dalam parsing konfigurasi yang disebabkan oleh penanganan unik dari huruf 'i' dan 'I'. bz # 2643
• sftp-server (8), ssh-agent (1): Deny ptrace pada OS X menggunakan ptrace (PT_DENY_ATTACH, ..)
• ssh (1), sshd (8): Unbreak AES-CTR cipher pada lama (~ 0.9.8) OpenSSL.
• Perbaiki kompilasi untuk libcrypto dikompilasi tanpa dukungan RIPEMD160.
• contrib: Tambahkan gnome-ssh-askpass3 dengan dukungan GTK + 3. bz # 2640 sshd (8): Tingkatkan PRNG reseeding di pemisahan hak istimewa dan paksakan libcrypto untuk mendapatkan benih berkualitas tinggi sebelum chroot atau sandboxing.
• Semua: Secara eksplisit menguji strnvis yang rusak. NetBSD menambahkan strnvis dan sayangnya membuatnya tidak kompatibel dengan yang ada di OpenBSD dan libbsd Linux (yang sebelumnya sudah ada selama lebih dari sepuluh tahun). Cobalah untuk mendeteksi kekacauan ini, dan asumsikan satu-satunya opsi aman jika kami melakukan kompilasi silang.

Apa yang baru di versi 7.3:

• Keamanan:
• sshd (8): Mengurangi potensi serangan denial-of-service terhadap crypt sistem (3) berfungsi melalui sshd (8). Seorang penyerang dapat mengirim kata sandi yang sangat panjang yang akan menyebabkan penggunaan CPU yang berlebihan di crypt (3). sshd (8) sekarang menolak untuk menerima permintaan otentikasi kata sandi dengan panjang lebih dari 1024 karakter. Dilaporkan secara independen oleh Tomas Kuthan (Oracle), Andres Rojas dan Javier Nieto.
• sshd (8): Mengurangi perbedaan waktu dalam otentikasi kata sandi yang dapat digunakan untuk melihat valid dari nama akun yang tidak valid ketika kata sandi panjang dikirim dan algoritma hashing kata sandi tertentu sedang digunakan di server. CVE-2016-6210, dilaporkan oleh EddieEzra.Harari di verint.com
• ssh (1), sshd (8): Memperbaiki kelemahan waktu yang dapat diamati dalam tindakan penanggulangan oracle CBC. Dilaporkan oleh Jean Paul Degabriele, Kenny Paterson, Torben Hansen dan Martin Albrecht. Perhatikan bahwa cipher CBC dinonaktifkan secara default dan hanya disertakan untuk kompatibilitas legacy.
• ssh (1), sshd (8): Meningkatkan operasi pemesanan verifikasi MAC untuk Encrypt-then-MAC (EtM) mode transport MAC algorithm untuk memverifikasi MAC sebelum mendekripsi ciphertext apa pun. Ini menghilangkan kemungkinan perbedaan waktu bocor fakta tentang plaintext, meskipun tidak ada kebocoran seperti yang telah diamati. Dilaporkan oleh Jean Paul Degabriele, Kenny Paterson, Torben Hansen dan Martin Albrecht. sshd (8): (portabel saja) Abaikan lingkungan PAM vars ketika UseLogin = ya. Jika PAM dikonfigurasi untuk membaca variabel lingkungan yang ditentukan pengguna dan UseLogin = ya dalam sshd_config, maka pengguna lokal yang bermusuhan dapat menyerang / bin / login melalui LD_PRELOAD atau variabel lingkungan yang serupa yang diatur melalui PAM. CVE-2015-8325, ditemukan oleh Shayan Sadigh.
• Fitur Baru:
• ssh (1): Tambahkan opsi ProxyJump dan flag tanda-perintah -J yang sesuai untuk memungkinkan penyimpangan yang disederhanakan melalui satu atau beberapa bastion SSH atau "host lompatan".
• ssh (1): Tambahkan opsi IdentityAgent untuk memungkinkan menentukan soket agen khusus daripada menerima satu dari lingkungan. ssh (1): Izinkan ExitOnForwardFailure dan ClearAllForwardings untuk secara opsional ditimpa saat menggunakan ssh -W. bz # 2577
• ssh (1), sshd (8): Menerapkan dukungan untuk mode terminal IUTF8 sesuai draf-sgtatham-secsh-iutf8-00. ssh (1), sshd (8): Tambahkan dukungan untuk grup Diffie-Hellman 2K, 4K dan 8K tambahan yang tetap dari draft-ietf-curdle-ssh-kex-sha2-03.
• ssh-keygen (1), ssh (1), sshd (8): mendukung SHA256 dan SHA512 RSA signature dalam sertifikat; ssh (1): Tambahkan perintah Sertakan untuk file ssh_config (5).
• ssh (1): Mengizinkan karakter UTF-8 dalam spanduk pra-otentikasi yang dikirim dari server. bz # 2058
• Perbaikan bug:
• ssh (1), sshd (8): Mengurangi tingkat syslog dari beberapa kejadian protokol yang relatif umum dari LOG_CRIT. bz # 2585
• sshd (8): Menolak AuthenticationMethods = "" dalam konfigurasi dan menerima AuthenticationMethods = apa pun untuk perilaku default yang tidak memerlukan banyak otentikasi. bz # 2398
• sshd (8): Hapus yang usang dan menyesatkan "MUNGKIN PERCOBAAN BREAK-IN!" pesan ketika maju dan mundur DNS tidak cocok. bz # 2585
• ssh (1): Tutup ControlPersist background process stderr kecuali dalam mode debug atau ketika masuk ke syslog. bz # 1988
• misc: Buat deskripsi PROTOCOL untuk saluran langsung-streamlocal@openssh.com, pesan terbuka cocok dengan kode yang digunakan. bz # 2529
• ssh (1): Buat duplikat entri LocalForward dan RemoteForward untuk memperbaiki kegagalan ketika Kanonikalisasi konfigurasi ExitOnForwardFailure dan hostname diaktifkan. bz # 2562
• sshd (8): Hapus fallback dari moduli ke file "bilangan prima" yang sudah usang yang tidak digunakan lagi pada tahun 2001. bz # 2559.
• sshd_config (5): Deskripsi yang benar tentang UseDNS: ini mempengaruhi pemrosesan nama host ssh untuk authorized_keys, bukan known_hosts; bz # 2554 ssh (1): Memperbaiki autentikasi menggunakan kunci sertifikat tunggal dalam agen tanpa kunci pribadi terkait pada sistem berkas. bz # 2550
• sshd (8): Kirim ping ClientAliveInterval ketika RekeyLimit berbasis waktu diatur; sebelumnya paket-paket keepalive tidak dikirim. bz # 2252

Apa yang baru di versi 7.2:

• Keamanan:
• ssh (1), sshd (8): hapus kode roaming yang belum selesai dan tidak digunakan (sudah dinonaktifkan secara paksa di OpenSSH 7.1p2).
• ssh (1): hilangkan penggantian dari penerusan X11 yang tidak tepercaya ke penerusan tepercaya ketika server X menonaktifkan ekstensi KEAMANAN.
• ssh (1), sshd (8): meningkatkan ukuran modulus minimum yang didukung untuk pertukaran-kelompok diffie-hellman menjadi 2048 bit.
• sshd (8): pra-auth sandboxing sekarang diaktifkan secara default (rilis sebelumnya mengaktifkannya untuk instalasi baru melalui sshd_config).
• Fitur Baru:
• semua: tambahkan dukungan untuk tanda tangan RSA menggunakan SHA-256/512 algoritma hash berdasarkan draf-rsa-dsa-sha2-256-03.txt dan draf-ssh-ext-info-04.txt.
• ssh (1): Tambahkan opsi klien AddKeysToAgent yang bisa disetel ke 'ya', 'tidak', 'minta', atau 'konfirmasi', dan default ke 'tidak'. Saat diaktifkan, kunci privat yang digunakan selama autentikasi akan ditambahkan ke ssh-agent jika sedang berjalan (dengan konfirmasi diaktifkan jika disetel ke 'konfirmasi').
• sshd (8): tambahkan opsi authorized_keys baru "pembatas" yang mencakup semua batasan kunci saat ini dan masa depan (tidak - - - penerusan, dll.). Juga tambahkan versi permisif dari batasan yang ada, mis. "tidak ada pty" - & gt; "pty". Ini menyederhanakan tugas menyiapkan kunci terbatas dan memastikannya dibatasi secara maksimal, terlepas dari izin yang mungkin kami terapkan di masa mendatang. ssh (1): menambahkan opsi ssh_config CertificateFile untuk secara eksplisit mendata sertifikat. bz # 2436
• ssh-keygen (1): izinkan ssh-keygen untuk mengubah komentar kunci untuk semua format yang didukung.
• ssh-keygen (1): memungkinkan sidik jari dari input standar, mis. "ssh-keygen -lf -"
• ssh-keygen (1): memungkinkan fingerprinting beberapa kunci publik dalam file, mis. "ssh-keygen -lf ~ / .ssh / authorized_keys" bz # 1319
• sshd (8): mendukung "none" sebagai argumen untuk sshd_config Foreground dan ChrootDirectory. Berguna di dalam blok Pencocokan untuk mengganti default global. bz # 2486
• ssh-keygen (1): mendukung beberapa sertifikat (satu per baris) dan membaca dari input standar (menggunakan "-f -") untuk "ssh-keygen -L" ssh-keyscan (1): tambahkan "ssh- keyscan -c ... "tandai untuk memungkinkan mengambil sertifikat alih-alih tombol biasa.
• ssh (1): lebih baik menangani FQDN berlabuh (misalnya 'cvs.openbsd.org.') dalam kanonikalisasi hostname - perlakukan mereka sebagai sudah kanonik dan hapus trailing '.' sebelum mencocokkan ssh_config.
• Perbaikan bug:
• sftp (1): direktori tujuan yang sudah ada seharusnya tidak menghentikan upload rekursif (regresi di openssh 6.8) bz # 2528
• ssh (1), sshd (8): mengirim balasan SSH2_MSG_UNIMPLEMENTED dengan benar ke pesan tak terduga selama pertukaran kunci. bz # 2949
• ssh (1): menolak upaya untuk menyetel ConnectionAttempts = 0, yang tidak masuk akal dan akan menyebabkan ssh untuk mencetak variabel stack yang tidak diinisialisasi. bz # 2500
• ssh (1): memperbaiki kesalahan saat mencoba menyambung ke alamat IPv6 yang dicakup dengan canonikalisasi hostname diaktifkan.
• sshd_config (5): daftar beberapa opsi lain yang dapat digunakan dalam blok Pencocokan. bz # 2489
• sshd (8): perbaiki "PubkeyAcceptedKeyTypes + ..." di dalam blok Pencocokan. ssh (1): memperluas karakter tilde dalam nama file yang dilewatkan ke opsi -i sebelum memeriksa apakah file identitas ada atau tidak. Menghindari kebingungan untuk kasus-kasus di mana shell tidak mengembang (mis. "-i ~ / file" vs. "-i ~ / file"). bz # 2481
• ssh (1): jangan menambahkan "exec" ke perintah shell yang dijalankan oleh "Match exec" dalam file konfigurasi, yang dapat menyebabkan beberapa perintah gagal di lingkungan tertentu. bz # 2471
• ssh-keyscan (1): memperbaiki output untuk banyak host / addrs pada satu baris ketika host hashing atau port non standar sedang digunakan bz # 2479
• sshd (8): lewati pesan "Tidak bisa chdir ke direktori home" ketika ChrootDirectory aktif. bz # 2485
• ssh (1): menyertakan PubkeyAcceptedKeyTypes di ssh -G config dump. sshd (8): hindari mengubah bendera perangkat TunnelForwarding jika mereka sudah apa yang dibutuhkan; memungkinkan untuk menggunakan jaringan tun / tap sebagai pengguna non-root jika izin perangkat dan bendera antarmuka sudah ditentukan sebelumnya
• ssh (1), sshd (8): RekeyLimits dapat dilampaui oleh satu paket. bz # 2521
• ssh (1): memperbaiki kegagalan master multiplexing untuk melihat keluar klien.
• ssh (1), ssh-agent (1): menghindari fatal () untuk token PKCS11 yang menampilkan ID kunci kosong. bz # 1773
• sshd (8): hindari printf dari argumen NULL. bz # 2535
• ssh (1), sshd (8): memungkinkan RekeyLimits lebih besar dari 4GB. bz # 2521
• ssh-keygen (1): sshd (8): memperbaiki beberapa bug dalam dukungan tanda tangan KRL (tidak digunakan).
• ssh (1), sshd (8): memperbaiki koneksi dengan rekan-rekan yang menggunakan fitur menebak kurs kunci dari protokol. bz # 2515
• sshd (8): termasuk nomor port jarak jauh dalam pesan log. bz # 2503
• ssh (1): jangan coba memuat kunci pribadi SSHv1 ketika dikompilasi tanpa dukungan SSHv1. bz # 2505
• ssh-agent (1), ssh (1): memperbaiki pesan kesalahan yang salah selama pembebanan kunci dan kesalahan penandatanganan. bz # 2507
• ssh-keygen (1): jangan meninggalkan file sementara kosong ketika melakukan edit file known_hosts ketika known_hosts tidak ada.
• sshd (8): format paket yang benar untuk balasan tcpip-forward untuk permintaan yang tidak mengalokasikan port bz # 2509
• ssh (1), sshd (8): perbaiki kemungkinan bertahan pada output tertutup. bz # 2469 ssh (1): memperluas% i dalam ControlPath ke UID. bz # 2449
• ssh (1), sshd (8): memperbaiki tipe pengembalian dari openssh_RSA_verify. bz # 2460
• ssh (1), sshd (8): memperbaiki beberapa opsi untuk mengurai kebocoran memori. bz # 2182
• ssh (1): tambahkan beberapa keluaran debug sebelum resolusi DNS; itu adalah tempat di mana ssh sebelumnya bisa diam-diam kios dalam kasus server DNS tidak responsif. bz # 2433 ssh (1): hapus baris baru palsu dalam tombol host visual. bz # 2686
• ssh (1): perbaiki pencetakan (ssh-G ...) dari HostKeyAlgorithms = + ...
• ssh (1): perbaiki perluasan HostkeyAlgorithms = + ...
• Dokumentasi:
• ssh_config (5), sshd_config (5): memperbarui daftar algoritma default untuk mencocokkan realitas saat ini. bz # 2527
• ssh (1): menyebutkan -Q key-plain dan -Q opsi query kunci-cert. bz # 2455
• sshd_config (8): lebih jelas menggambarkan apa yang AuthorizedKeysFile = tidak ada.
• ssh_config (5): dokumen yang lebih baik ExitOnForwardFailure. bz # 2444
• sshd (5): sebutkan grup kemunduran DH-GEX internal secara manual. bz # 2302
• sshd_config (5): deskripsi yang lebih baik untuk opsi MaxSessions. bz # 2531
• Portabilitas:
• ssh (1), sftp-server (8), ssh-agent (1), sshd (8): Mendukung Illumos / Solaris hak halus. Termasuk pra-auth privsep sandbox dan beberapa gadai () emulasi. bz # 2511
• Renovasi redhat / openssh.spec, hapus opsi dan sintaks yang tidak berlaku lagi.
• configure: allow --without-ssl-engine dengan --without-openssl
• sshd (8): perbaiki beberapa otentikasi menggunakan S / Key. bz # 2502
• sshd (8): baca kembali dari libcrypto RAND_before menjatuhkan hak istimewa. Menghindari pelanggaran kotak pasir dengan BoringSSL.
• Perbaiki benturan nama dengan fungsi glob (3) sistem yang disediakan. bz # 2463
• Adapt Makefile untuk menggunakan ssh-keygen -A ketika membuat kunci host. bz # 2459
• configure: koreksi nilai default untuk --with-ssh1 bz # 2457
• configure: deteksi lebih baik dari simbol _res bz # 2259
• mendukung getrandom () syscall di Linux

Apa yang baru di versi 7.1:

• Keamanan:
• sshd (8): OpenSSH 7.0 berisi kesalahan logika dalam PermitRootLogin = melarang-kata sandi / tanpa kata sandi yang dapat, tergantung pada konfigurasi waktu-kompilasi, mengizinkan otentikasi kata sandi untuk melakukan root sekaligus mencegah bentuk-bentuk otentikasi lainnya. Masalah ini dilaporkan oleh Mantas Mikulenas.
• Perbaikan bug:
• ssh (1), sshd (8): menambahkan comparability workarounds untuk FuTTY
• ssh (1), sshd (8): memperbaiki compatability workarounds untuk WinSCP
• Perbaiki sejumlah kesalahan memori (bebas-ganda, bebas dari memori yang tidak terinisialisasi, dll) dalam ssh (1) dan ssh-keygen (1). Dilaporkan oleh Mateusz Kocielski.