Az OpenSSH 9.9 elérhető, amely a széles körben használt, nyílt forráskódú SSH implementációnak a legújabb verziója. Az OpenSSH tervezi a DSA (Digital Signature Algorithm) aláírási algoritmus támogatásának megszüntetését 2025 elején. Ez a kiadás alapértelmezés szerint letiltja a DSA-t fordítási időben. A DSA, amelyet az SSHv2 protokollban használnak, inherensen gyenge, mivel csak 160 bites privát kulcsot használ és a SHA1 kivonatolási eljárást alkalmazza. A becsült biztonsági szintje csak 80 bites szimmetrikussal egyenértékű. Az OpenSSH már 2015 óta letiltotta a DSA kulcsokat alapértelmezés szerint, de futásidőben opcionálisan továbbra is támogatta őket. A DSA volt az egyetlen kötelezően implementálandó algoritmus az SSHv2 RFC-kben, mivel az alternatív algoritmusok abban az időben szabadalmi oltalom alatt álltak, amikor az SSHv2 protokollt meghatározták.
Ez az állapot már évtizedek óta nem áll fenn, és a jobb algoritmusokat minden aktívan karbantartott SSH implementáció jól támogatja. A fejlesztők nem látják indokoltnak a DSA fenntartását az OpenSSH-ban, és reméljük, hogy annak eltávolítása felgyorsítja a DSA szélesebb körű kivonását a kriptográfiai könyvtárakban. Jelenleg a DSA fordítási időben van letiltva. A végső lépés a DSA támogatásának teljes eltávolítása, amely az első 2025-ös OpenSSH kiadásban várható. A DSA támogatása az OpenBSD-ben újraengedélyezhető a "DSAKEY=yes" beállítás megadásával a Makefile.inc fájlban. A hordozható OpenSSH-ben a "--enable-dsa-keys" opcióval engedélyezhető a DSA támogatása a konfiguráció során.
Potenciálisan inkompatibilis változások
ssh(1): elő-autentikációs tömörítés támogatásának eltávolítása: Az OpenSSH szerver már évek óta csak utó-autentikációs tömörítést támogat. Az autentikáció előtti tömörítés jelentősen megnöveli az SSH szerverek támadási felületét, és olyan hibalehetőségeket hozhat létre, amelyek az autentikáció során küldött információk felfedéséhez vezethetnek.
ssh(1), sshd(8): a "Match" konfigurációs direktíva argumentumainak feldolgozása:A "Match" konfigurációs direktíva argumentumainak feldolgozása mostantól inkább a shell-szerű szabályokat követi az idézőjelek esetében, beleértve a beágyazott idézőjelek és a -vel elválasztott karakterek támogatását is. Ha a konfigurációk tartalmaztak olyan megoldásokat, amelyek a korábbi, egyszerű idézőjel-kezelést korrigálták, akkor ezek szükség esetén módosításra szorulhatnak. Ez legvalószínűbben a "Match exec" feltétel argumentumaiban fordulhat elő. Ebben az esetben a legegyszerűbb megoldás az, ha a kiértékelendő parancsot áthelyezzük a Match sorból egy külső shell scriptbe, hogy megőrizzük a kompatibilitást mind a régi, mind az új verziókkal.
Az OpenSSH 9.3 továbbra is a nyílt forrású ssh-kliens és ssh-szerver egyik legstabilabb és legmegbízhatóbb verziója. Az új verzió további funkciókat és biztonsági javításokat tartalmaz, amelyek biztonságosabbá teszik az internetes kapcsolatokat, valamint javítják az OpenSSH használhatóságát és teljesítményét. Az OpenSSH projekt továbbra is dolgozik azon, hogy tovább fejlessze és javítsa a szoftvert, és biztonságosabb és hatékonyabb eszközöket biztosítson a felhasználók számára. Letöltések és további részletek az OpenSSH 9.9-ről az OpenSSH.com oldalon.
Letöltés
A fejlesztők szeretnének köszönetet mondani az OpenSSH közösségnek a folyamatos támogatásért, különösen azoknak, akik kódot vagy javításokat küldtek, hibákat jelentettek, snapshotokat teszteltek, vagy adományoztak a projekthez. További információ az adományozásról itt található: https://www.openssh.com/donations.html.
