OpenSSH 10.1: Neue DSCP-Verarbeitung, Obsoleszenz von SHA1 SSHFP angekündigt
OpenSSH 10.1 ist jetzt verfügbar und bietet Änderungen bei der DSCP-Verarbeitung, Sicherheitskorrekturen und Pläne zur Abkündigung von SHA1 SSHFP.
Eine Übersetzung von 🇬🇧 Linuxiac.com
Das OpenSSH-Projekt, das unter dem Dach von OpenBSD entwickelt und gepflegt wird, hat die Veröffentlichung von OpenSSH 10.1 bekannt gegeben, einem weit verbreiteten sicheren Toolset für die Remote-Anmeldung und Dateiübertragung über verschlüsselte Verbindungen. Es steht nun auf den offiziellen Mirrors zum Download bereit.
Eine wichtige Änderung in dieser Version ist die bevorstehende Abkehr von SHA1-SSHFP-DNS-Einträgen, die aufgrund von Schwächen im SHA1-Algorithmus bald ignoriert werden. Von nun an generiert ssh-keygen -r nur noch SHA256-basierte SSHFP-Einträge.
OpenSSH 10.1 führt außerdem eine Warnung für nicht-postquantische Schlüsselvereinbarungen ein, die auf das Risiko von „Store now, decrypt later”-Angriffen hinweist. Dieses Verhalten wird durch die neue Option WarnWeakCrypto gesteuert, die standardmäßig aktiviert ist.
In dieser Version wurde auch eine kleinere Sicherheitskorrektur vorgenommen. Sie verhindert, dass Steuerzeichen in Benutzernamen enthalten sind, die über nicht vertrauenswürdige SSH-Befehlszeilen oder URIs übermittelt werden, und behebt damit ein potenzielles Shell-Injection-Problem, wenn ProxyCommand für die Verwendung von Benutzernamenerweiterungen konfiguriert war.
Diese Version bringt wichtige Änderungen an DSCP (IPQoS) mit sich. Interaktiver SSH-Datenverkehr wird nun standardmäßig der Expedited Forwarding-Klasse zugeordnet, um eine bessere Latenz zu erzielen, während nicht-interaktiver Datenverkehr, wie z. B. SFTP-Übertragungen, die Systemstandardwerte verwendet. Außerdem werden veraltete IPv4-ToS-Schlüsselwörter wie lowdelay, reliability und throughput nun ignoriert und durch moderne DSCP-Markierungen ersetzt.
Beim ssh-agent werden die Sockets nun unter ~/.ssh/agent statt unter /tmp gespeichert, was die Sicherheit auf eingeschränkten Systemen verbessert. Darüber hinaus werden alte Sockets automatisch bereinigt und abgelaufene Zertifikate können kurz nach ihrem Ablauf entfernt werden.
Weitere bemerkenswerte Änderungen sind die Unterstützung von ed25519-Schlüsseln auf PKCS#11-Token, eine neue Option RefuseConnection in ssh_config und die Erhöhung der Konfigurationsgrößenbeschränkung von 256 KB auf 4 MB. Die Version behebt außerdem Verzögerungen bei X-Clients, verbessert die Diagnose beim Laden von Schlüsseln und behebt mehrere Speicherlecks.
Schließlich enthält die portable Version kleinere Kompatibilitätskorrekturen für Linux, macOS und BSD sowie ein neues GNOME 40+ askpass-Dienstprogramm. Außerdem wurden die PAM-Verarbeitung, Seccomp-Sandboxing und die Unterstützung von Futex-Syscalls auf 32-Bit-Systemen verbessert.
Weitere Informationen finden Sie im Changelog.
Comments