Доступен релиз OPENSSH 5.9 1, открытой реализации клиента и сервера для работы по протоколам SSH (1.3, 1.5 и 2.0) и SFTP.
Из максимально заметных улучшений возможно подчеркнуть:
Помощь нового sandbox-режима "USEPRIVILEGESEPARATION=sandbox", использующего rlimit и systrace для более жесткой изоляции кода, работающего на стадии до начала аутентификации (pre-auth privsep child). Если раньше, до начала аутентификации практиковался сброс прав до непривилегированного пользователя и помещение процесса в chroot-окружение /var/empty, то сейчас возникли механизмы, позволяющие воспрепятствовать выполнению системных вызовов к ядру и применению сокетов. В случае проникновения ч/з уязвимость в OPENSSH при использовании новой защиты злоумышленник не сумеет эксплуатировать локальную уязвимость в ядре для повышения прав или провести атаку на иные хосты (сделать сокет, запустить прокси и т.п.).
Далее...