Доступен релиз OPENSSH 5.9
Доступен релиз OPENSSH 5.9 1, открытой реализации клиента и сервера для работы по протоколам SSH (1.3, 1.5 и 2.0) и SFTP.
Из максимально заметных улучшений возможно подчеркнуть:
Помощь нового sandbox-режима "USEPRIVILEGESEPARATION=sandbox", использующего rlimit и systrace для более жесткой изоляции кода, работающего на стадии до начала аутентификации (pre-auth privsep child). Если раньше, до начала аутентификации практиковался сброс прав до непривилегированного пользователя и помещение процесса в chroot-окружение /var/empty, то сейчас возникли механизмы, позволяющие воспрепятствовать выполнению системных вызовов к ядру и применению сокетов. В случае проникновения ч/з уязвимость в OPENSSH при использовании новой защиты злоумышленник не сумеет эксплуатировать локальную уязвимость в ядре для повышения прав или провести атаку на иные хосты (сделать сокет, запустить прокси и т.п.).
В разных системах для работы нового sandbox-режима применяются разные механизмы. К примеру, в OPENBSD для лимиты количества допустимых системных вызовов задействована система systrace. Для Mac OS X и Darwin подготовлен модуль seatbelt, который использует подсистему sandbox для квесты политики лимиты доступа к файловой системе и сетевым ресурсам. Для иных систем вероятно применение механизма setrlimit для установки в ноль лимитов на количество файловых дескрипторов/сокетов, количество процессов и размер создаваемого файла. В будущем планируется обеспечить поддержку этих механизмов, как Capsicum и изолированных пространств имен в Линукс (pid/net namespaces).
Добавлены основанные на хэше SHA256 новые HMAC-режимы проверки целостности: hmac-sha2-256, hmac-sha2-256-96, hmac-sha2-512 и hmac-sha2-512-96;
Изменен способ ведения лога процессами в режиме изоляции привилегий, которые сейчас не требуют наличия /dev/log в chroot, а передают сообщения ч/з сокет, который обрабатывает основной master-процесс;
В директивах AUTHORIZEDKEYSFILE, USERKNOWNHOSTSFILE и GLOBALKNOWNHOSTSFILE сейчас возможно указывать одновременно несколько дорог, разделенных пробелом. Помощь недокументированных опций AUTHORIZEDKEYSFILE2 и GLOBALKNOWNHOSTSFILE2 остановлена - файлы authorized_keys2 и known_hosts2 сейчас указываются ч/з базовые опции;
В директиве CONTROLPATH на имя хоста назначения сейчас возможно ссылаться ч/з "%L";
В директиве "Host" добавлена помощь операций отрицания, к примеру: "Host *.example.org !c.example.org" примет "a.example.org" и "b.example.org", однако отвергнет "c.example.org";
В ssh_config добавлена помощь опции REQUESTTTY, которая дает возможность контролировать привязку к TTY по аналогии с опциями командной строки "-t/-tt/-T";
В sshd реализация аутентификации GSSAPI сейчас определяет, когда случаи сбоя на стороне сервера приводят к сбою аутентификации и не учитывает эти сбои при расчете лимита MAXAUTHTRIES;
В ssh-keygen добавлена опция "-A", при указании которой автоматически будут сделаны все типы недостающих ключей с параметрами изначально и пустым паролем. Опцию удобно применять в скриптах инициализации системы;
Возможность прекращения мультиплексирования соединений с сервером без обрыва уже установленных соединений ("ssh -O stop ...");
В ssh-add добавлена возможность приема ключей из стандартного ввода ("ssh-add - < /path/to/key");
В Portable OPENSSH устранены трудности со сборкой кода, обеспечивающего поддержку SELINUX; удалена помощь ssh-rand-helper (случайные количества запрашиваются из OPENSSL или ч/з PRNGD/EGD); обновлены .spec-файлы и скрипты инициализации для Линукс; устранены трудности со сборкой для платформ, без помощи dlopen().