O OpenSSH é a principal ferramenta de conectividade para login remoto com o protocolo SSH.

OpenSSH 9.3 é lançado com correções de segurança e novidades

 

OpenSSH é um conjunto de utilitários de rede relacionado à segurança que provém a criptografia em sessões de comunicações em uma rede de computadores usando o protocolo SSH. Wikipédia

 

 

O anúncio foi feito em 15 de Março de 2023.

"Mais uma vez, gostaríamos de agradecer à comunidade OpenSSH por seu
apoio contínuo ao projeto, especialmente aqueles que contribuíram com
código ou patches, bugs relatados, instantâneos testados ou doações para o
projeto.'

Novas características

• ssh-keygen(1), ssh-keyscan(1): aceitar -Ohashalg=sha1|sha256 quando saída de impressões digitais SSHFP para permitir a seleção de algoritmo. bz3493

• sshd(8): adiciona uma opção `sshd -G` que analisa e imprime o configuração efetiva sem tentar carregar chaves privadas e realizar outras verificações. Isso permite o uso da opção antes chaves foram geradas e para avaliação de configuração e verificação por usuários sem privilégios.

Correções de segurança e bugs

Segurança * ssh-add(1): when adding smartcard keys to ssh-agent(1) with the per-hop destination constraints (ssh-add -h ...) added in OpenSSH 8.9, a logic error prevented the constraints from being communicated to the agent. This resulted in the keys being added without constraints. The common cases of non-smartcard keys and keys without destination constraints are unaffected. This problem was reported by Luci Stanescu. * ssh(1): Portable OpenSSH provides an implementation of the getrrsetbyname(3) function if the standard library does not provide it, for use by the VerifyHostKeyDNS feature. A specifically crafted DNS response could cause this function to perform an out-of-bounds read of adjacent stack data, but this condition does not appear to be exploitable beyond denial-of- service to the ssh(1) client. The getrrsetbyname(3) replacement is only included if the system's standard library lacks this function and portable OpenSSH was not compiled with the ldns library (--with-ldns). getrrsetbyname(3) is only invoked if using VerifyHostKeyDNS to fetch SSHFP records. This problem was found by the Coverity static analyzer. Bugs * scp(1), sftp(1): fix progressmeter corruption on wide displays; bz3534 * ssh-add(1), ssh-keygen(1): use RSA/SHA256 when testing usability of private keys as some systems are starting to disable RSA/SHA1 in libcrypto. * sftp-server(8): fix a memory leak. GHPR363 * ssh(1), sshd(8), ssh-keyscan(1): remove vestigal protocol compatibility code and simplify what's left. * Fix a number of low-impact Coverity static analysis findings. These include several reported via bz2687 * ssh_config(5), sshd_config(5): mention that some options are not first-match-wins. * Rework logging for the regression tests. Regression tests will now capture separate logs for each ssh and sshd invocation in a test. * ssh(1): make `ssh -Q CASignatureAlgorithms` work as the manpage says it should; bz3532. * ssh(1): ensure that there is a terminating newline when adding a new entry to known_hosts; bz3529