форумы  правила/FAQ  поиск  регистрация  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Релиз OpenSSH 7.5"	+/–
Сообщение от opennews on 20-Мрт-17, 22:13
Сформирован (http://lists.mindrot.org/pipermail/openssh-unix-dev/2017-Mar...) релиз OpenSSH 7.5 (http://www.openssh.com/), открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. В OpenSSH также временно оставлена поддержка протоколов SSH 1.3 и 1.5 на стороне клиента (серверная часть уже удалена), которая требует сборки со специальной опцией. Летом 2017 года планируется полностью прекратить поддержку SSHv1 и удалить компоненты с реализаций шифров Blowfish и RC4, а также RIPE-MD160 HMAC, которые в настоящее время по умолчанию отключены в настройках. В будущих выпусках также планируют запретить использование RSA-ключей размером менее 1024 бит и  отключить по умолчанию поддержку шифров CBC на стороне SSH-клиента (в сервере CBC был отключен  несколько лет назад). В новой версии устранены накопившиеся ошибки и внесено несколько изменений, в основном связанных с удалением устаревших возможностей: -  Внесена дополнительная защита для блокирования атак, манипулирующих различиями при формировании добавочного заполнения (padding oracle) в шифрах CBC (на стороне клиента CBC уже давно отключен по умолчанию, а на стороне сервера запланирован к удалению в следующем выпуске); -  В утилите sftp-client устранена уязвимость, проявляющаяся при запуске в окружении Cygwin и позволяющая создать или изменить файлы за пределами целевой директории на стороне клиента при инициировании рекурсивной загрузки данных с сервера, подконтрольного атакующим; -  В ssh и sshd добавлен оператор "=-", предназначенный для исключения методов из списков. Например, "Ciphers=-*cbc" исключит из списка допустимых шифров все алгоритмы с CBC; -  Отключена возможность запуска OpenSSH без разделения привилегий. Опция UsePrivilegeSeparation объявлена устаревшей и режим разделения привилегий теперь не может быть отключен (по умолчанию данный режим активирован уже почти 15 лет); -  Изменён формат некоторых сообщений в логе, информирующих о закрытии соединения, таймаутах, отсоединении удалённой стороны и некоторых фатальных ошибках. Для данных групп сообщений в лог теперь добавлены сведения о пользователе и состоянии аутентификации, что может потребовать модификации анализаторов логов и систем мониторинга. Например:    Connection closed by user x 1.1.1.1 port 1234 [preauth]    Connection closed by authenticating user x 10.1.1.1 port 1234 [preauth]    Connection closed by invalid user x 1.1.1.1 port 1234 [preauth] -  Прекращена поддержка версий библиотеки OpenSSL до ветки 1.0.1 (поддержка ветки 1.0.1 была прекращена проектом OpenSSL более года назад). URL: http://lists.mindrot.org/pipermail/openssh-unix-dev/2017-Mar... Новость: https://www.opennet.ru/opennews/art.shtml?num=46228
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Релиз OpenSSH 7.5"	–4 +/–
Сообщение от Римус on 20-Мрт-17, 22:13
Выпилили бы ещё поддержку DSA и ECDSA. И теперь видимо вместо OpenSSL будут со своей LibreSSL всё связывать. А её что-то не так просто обновить в самом OpenBSD..
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Релиз OpenSSH 7.5"	+4 +/–
	Сообщение от Stax (ok) on 20-Мрт-17, 23:09
	> Выпилили бы ещё поддержку DSA и ECDSA. > И теперь видимо вместо OpenSSL будут со своей LibreSSL всё связывать. А > её что-то не так просто обновить в самом OpenBSD.. Эээ, а чем вам ECDSA не угодил-то? Или вы сравниваете поддержку SSHv1 - давно никому не нужного, с кучей дыр с актуальным стандартом без известных уязвимостей (проблемы были только в конкретных реализациях, но этим отличались все алгоритмы - https://en.wikipedia.org/wiki/Elliptic_Curve_Digital_Signatu... )
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	18. "Релиз OpenSSH 7.5"	+/–
	Сообщение от пох on 21-Мрт-17, 18:36
	> И теперь видимо вместо OpenSSL будут со своей LibreSSL всё связывать. portable - не будет, родная - да, для того и брали. > А её что-то не так просто обновить в самом OpenBSD.. не переживайте, ее не надо обновлять - она радостно определяет версионный define аж версии 2 (в смысле 2.x.x) - как раз недавно я вынужден был добавлять специальный патч ради обхода этой волчьей ямы (поскольку на деле там нет совместимости и с 1, во всяком случае, в нужной мне ветке) А чем вам DSA не угодил? (ecdsa-то понятно, ибо кривые предоставлены NIST, и по поводу деятельности этой лавки есть обоснованные сомнения)
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	21. "Релиз OpenSSH 7.5"	–1 +/–
	Сообщение от Римус on 22-Мрт-17, 20:10
	Вот на этом основываюсь когда переконфигурирую sshd_config: https://www.opennet.ru/tips/2877_ssh_crypt_setup_security_ns...
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

	24. "Релиз OpenSSH 7.5"	–1 +/–
	Сообщение от пох on 24-Мрт-17, 13:35
	> Вот на этом основываюсь когда переконфигурирую sshd_config: > https://www.opennet.ru/tips/2877_ssh_crypt_setup_security_ns... не надо без понимания на этом основываться. Если ты не собираешься повторять подвиг Гая Фокса (он, кстати, всех сдал, имей в виду), большая часть этих рекомендаций ненужная, а может и вредная. Если собираешься - потренируйся прыгать с табуреточки, пригодится, как ни шифруйся.
	Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

	25. "Релиз OpenSSH 7.5"	–1 +/–
	Сообщение от Римус on 24-Мрт-17, 17:34
	А что конкретно из данных рекомендаций вредно, и что ненужно? Подвиг мне не нужен, только безопасность и надёжность.
	Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

	22. "Релиз OpenSSH 7.5"	–1 +/–
	Сообщение от Римус on 22-Мрт-17, 20:13
	> не переживайте, ее не надо обновлять - она радостно определяет версионный define > аж версии 2 (в смысле 2.x.x) В снапшотах висит образ с LibreSSL уже 2.5.2. А на системе, несмотря на все патчи стоит 2.4.2. И как обновится хотя бы до 2.4.5 я так и не понял.
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

	23. "Релиз OpenSSH 7.5"	–1 +/–
	Сообщение от пох on 24-Мрт-17, 13:32
	> В снапшотах висит образ с LibreSSL уже 2.5.2. там нет ничего хорошего, а вот поломанная совместимость есть, поэтому не надо бежать впереди паровоза. > А на системе, несмотря на все патчи стоит 2.4.2. И как обновится хотя бы до 2.4.5 я так и > не понял. только вместе с системой - не патчем, а переходом на следующую версию (можно stable). И это правильно. 2.4.2 там стоит не просто так, а патченная (предполагая что ты следишь за -security и делаешь что написано), апгрейдить ее на следующую minor совершенно незачем, и опять же может что-то сломаться, хотя и крайне маловероятно, но зачем рисковать (с позиции майнтейнера багфикснутой ветки дистрибутива). Но если хочется приключений - можешь просто вывалить более свежую версию в дерево поверх текущей. Она примерно так и разрабатывается.
	Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

	26. "Релиз OpenSSH 7.5"	–1 +/–
	Сообщение от Римус on 24-Мрт-17, 17:36
	> там нет ничего хорошего, а вот поломанная совместимость есть, поэтому не надо > бежать впереди паровоза. > 2.4.2 там стоит не просто так, > а патченная (предполагая что ты следишь за -security и делаешь что > написано), апгрейдить ее на следующую minor совершенно незачем Спасибо за разьяснение!
	Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

	27. "Релиз OpenSSH 7.5"	+/–
	Сообщение от Аноним (??) on 27-Мрт-17, 11:56
	> А чем вам DSA не угодил? Плох ибо ограничение размера ключа. Уже вчера применять нельзя было. > ecdsa-то понятно, ибо кривые предоставлены NIST, и по поводу деятельности этой лавки есть обоснованные сомнения ECDSA - нереально крут! Он при 512-битном ключе обеспечивает стойкость как RSA с 16000битным ключём! Показатель надёжность/(процессорное время) - лучший!!!
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

12. "Релиз OpenSSH 7.5"	+/–
Сообщение от arka (ok) on 21-Мрт-17, 04:50
Вопрос тем, кто в курсе - почему выпиливается Blowfish, алгоритм был скомпрометирован или просто тупо в пользу AES?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	13. "Релиз OpenSSH 7.5"	–1 +/–
	Сообщение от Аноним (??) on 21-Мрт-17, 04:54
	More legacy cryptography functions remain planned for retirement in future releases including the dropping of remaining SSH v.1 protocol support, removing support for Blowfish and RC4 ciphers and RIPE-MD160 HMAC, and removing CBC ciphers from the default in the client. A future OpenSSH release will also refuse RSA keys smaller than 1024 bits.
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	14. "Релиз OpenSSH 7.5"	–1 +/–
	Сообщение от arka (ok) on 21-Мрт-17, 08:03
	Спасибо
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	15. "Релиз OpenSSH 7.5"	+/–
	Сообщение от Аноним (??) on 21-Мрт-17, 11:19
	Что-то там так и не содержится ответа на вопрос _почему_ выпиливают Blowfish.
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	16. "Релиз OpenSSH 7.5"	–1 +/–
	Сообщение от Хорошо у нас в Аду on 21-Мрт-17, 13:03
	Из за выпиливания SSH v1
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	17. "Релиз OpenSSH 7.5"	+1 +/–
	Сообщение от й on 21-Мрт-17, 15:10
	потому, что cbc
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

19. "Релиз OpenSSH 7.5"	+/–
Сообщение от Аноним (??) on 21-Мрт-17, 22:33
> и отключить по умолчанию поддержку шифров CBC на стороне SSH-клиента (в сервере CBC был отключен несколько лет назад). > (на стороне клиента CBC уже давно отключен по умолчанию, а на стороне сервера запланирован к удалению в следующем выпуске) Так где он, всё-таки, уже давно отключён, а где его только планируется отключить?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Релиз OpenSSH 7.5"	–3 +/–
Сообщение от Fantomas (??) on 22-Мрт-17, 13:03
> removing support for Blowfish and RC4 Почему молчит RMS?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема