- Устранена уязвимость, позволяющая атакующему, контролирующему имя пользователя, передаваемое при запуске утилиты ssh, потенциально добиться выполнения произвольных shell-команд. Уязвимость проявляется в системах, использующих подстановку "%u" в некоторых директивах файла конфигурации, таких как "Match exec". Проблема вызвана проверкой спецсимволов в имени пользователя на стадии после выполнения %-подстановок в файле конфигурации ssh_config.
- Устранена проблема с безопасностью в sshd, вызванная некорректным сопоставлением опции authorized_keys principals="" со списком имён (principal) в сертификате в ситуации, когда в именах указан символ ",". Для эксплуатации уязвимости необходимо, чтобы в опции authorized_keys principals="" было указано несколько имён и чтобы удостоверяющий центр выписал сертификат с несколькими именами, разделёнными запятой (обычно такое не допускается). Изменено поведение в отношении сертификатов с пустым именем - ранее пустое имя подпадало под все опции authorized_keys principals="", а теперь не подпадает.
- В scp устранена проблема, из-за которой после загрузки файла с правами root с указанием опции "-O" и без опции "-p" не очищались флаги setuid/setgid.
- В sshd исправлена проблема с обработкой ключей ECDSA в директивах
PubkeyAcceptedAlgorithms и HostbasedAcceptedAlgorithms, из-за которой в случае указания любого алгоритма ECDSA (например, "ecdsa-sha2-nistp384") начинали приниматься и все остальные алгоритмы на базе ECDSA, даже если они явно не перечислены в списке допустимых. - В ssh и sshd при взаимодействии c SSH-агентами добавлена поддержка идентификаторов (codepoint), определённых IANA в спецификации draft-ietf-sshm-ssh-agent. Поддержка ранее используемых идентификаторов вида "@openssh.com" сохранена.
- В ssh-agent реализовано расширение "query", определённое в спецификации draft-ietf-sshm-ssh-agent и позволяющее определить поддерживаемые агентом функции. Для запроса списка поддерживаемых расширений протокола через запрос "query" в утилиту ssh-add добавлена опция "-Q".
- В sshd_config разрешено указание нескольких файлов в директиве RevokedKeys, а в ssh_config - в директиве RevokedHostKeys.
- В ssh добавлена escape-команда "~I" и опция "-O conninfo" для показа информации о текущем соединении, а также опция "-O channels" для показа информация об открытых каналах.
- В sshd в директиве PerSourcePenalties реализована опция 'invaliduser' для добавления задержки в случае попытки входа под несуществующим пользователем (по умолчанию 5-секунд). Добавлена возможность указания нецелых значений задержки.
- В sshd добавлена опция GSSAPIDelegateCredentials для управления приёмом делегированных учётных данных, предоставленных клиентом.
- В ssh-keygen добавлена поддержка записи ключей ED25519 в формате PKCS8.
- Добавлена поддержка схемы цифровых подписей ed25519, реализованная через libcrypto.
Источник: https://www.opennet.ru/opennews/art.shtml?num=65126
(opennet.ru, основная лента)