OpenSSH 9.6 新版本已发布,该版本修复了多个错误,还包含一些新功能、多项性能改进等。
对于那些不了解OpenSSH(Open Secure Shell)的人,应该知道 这是一组允许加密通信的应用程序 通过网络使用SSH协议。 它是作为专用软件Secure Shell程序的免费和开放替代版本而创建的。
OpenSSH 9.6的主要新功能
这个新版本的 OpenSSH 9.6 突出了简化的 ProxyJump,因为在 ssh 中添加了“%j”替换,扩展到指定的主机名,并改进了对不稳定或不支持的编译器标志的检测,如“-fzero-call-used-regs» 叮叮当当。
新版本带来的另一个变化是 ssh 中添加了对配置 ChannelTimeout 的支持 在客户端,可用于终止非活动通道。
另外,在OpenSSH 9.6中 引入签名算法的粒度控制,因为添加了协议扩展 到 ssh 和 sshd 重新协商数字签名算法 收到用户名后进行公钥认证。例如,在使用扩展时,您可以选择性地使用与您指定的用户相关的其他算法。
还强调了 向 ssh-add 和 ssh-agent 添加了协议扩展,以在加载 PKCS#11 密钥时配置证书,lo 允许在所有支持 ssh-agent 的 OpenSSH 实用程序中使用与 PKCS#11 私钥关联的证书,而不仅仅是 ssh。
关于错误修复,提到包括以下修复:
- 解决方案 SSH 协议中的漏洞(CVE-2023-48795,Terrapin 攻击),这允许中间人攻击将连接恢复为使用安全性较低的身份验证算法,并禁用对侧通道攻击的保护,这些攻击通过分析键盘上击键之间的延迟来重新创建输入。攻击方法在另一篇新闻文章中进行了描述。
- 解决方案 ssh 实用程序中允许替换任意 shell 命令的漏洞 通过操纵包含特殊字符的登录和主机值。如果攻击者控制传递给 ssh 的登录名和主机名值、ProxyCommand 和 LocalCommand 指令或包含通配符(例如 %u 和 %h)的“match exec”块,则可以利用该漏洞。例如,在使用 Git 子模块的系统上,错误的登录名和主机可以被覆盖,因为 Git 不禁止在主机名和用户名中指定特殊字符。 libssh 中也出现了类似的漏洞。
- 解决方案 添加 PKCS#11 私钥时 ssh-agent 中出现错误,限制仅应用于 PKCS#11 令牌返回的第一个密钥。该问题不会影响常规私钥、FIDO 令牌或不受限制的密钥。
, 其他突出的变化 这个新版本:
- 公钥接受算法 在“匹配用户”块中。
- 为了限制 sshd 进程的权限,支持 getpflags() 接口的 OpenSolaris 版本使用 PRIV_XPOLICY 而不是 PRIV_LIMIT。
- 添加了对读取 ssh、sshd、ssh-add 和 ssh-keygen 的 PEM PKCS25519 格式的 ED8 私钥的支持(之前仅支持 OpenSSH 格式)。
最后 如果您有兴趣了解更多信息 关于这个新版本,您可以查看详细信息 通过转到以下链接。
如何在Linux上安装OpenSSH 9.6?
对于那些对能够在其系统上安装此新版本的OpenSSH感兴趣的人, 现在他们可以做到 下载此源代码并 在他们的计算机上执行编译。
这是因为新版本尚未包含在主要Linux发行版的存储库中。 要获取源代码,您可以从 以下链接.
完成下载, 现在,我们将使用以下命令解压缩该软件包:
tar -xvf openssh-9.6.tar.gz
我们输入创建的目录:
cd openssh-9.6
Y 我们可以用 以下命令:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install