Software-update: OpenSSH 4.9

OpenSSH logoHet Openbsd Project heeft in de vorm van 4.9 een nieuwe versie van Openssh aangekondigd. De nieuwe versie kan voor Unix- en Linux-distributies gedownload worden door op deze link te klikken. Openssh is een implementatie van het ssh-protocol, waarmee versleutelde verbindingen tussen (meestal) *nix-machines gemaakt kunnen worden en dat een veiliger alternatief voor telnet en rlogin biedt. Versie 4.9 van Openssh wordt geleverd met een aantal nieuwe features en bugfixes. Welke dat precies zijn, kan hieronder gelezen worden:

Security:
  • Disable execution of ~/.ssh/rc for sessions where a command has been forced by the sshd_config ForceCommand directive. Users who had write access to this file could use it to execute abritrary commands. This behaviour was documented, but was an unsafe default and an extra hassle for administrators.
New features:
  • Added chroot(2) support for sshd(8), controlled by a new option "ChrootDirectory". Please refer to sshd_config(5) for details, and please use this feature carefully. (bz#177 bz#1352)
  • Linked sftp-server(8) into sshd(8). The internal sftp server is used when the command "internal-sftp" is specified in a Subsystem or ForceCommand declaration. When used with ChrootDirectory, the internal sftp server requires no special configuration of files inside the chroot environment. Please refer to sshd_config(5) for more information.
  • Added a "no-user-rc" option for authorized_keys to disable execution of ~/.ssh/rc
  • Added a protocol extension method "posix-rename@openssh.com" for sftp-server(8) to perform POSIX atomic rename() operations. (bz#1400)
  • Removed the fixed limit of 100 file handles in sftp-server(8). The server will now dynamically allocate handles up to the number of available file descriptors. (bz#1397)
  • ssh(8) will now skip generation of SSH protocol 1 ephemeral server keys when in inetd mode and protocol 2 connections are negotiated. This speeds up protocol 2 connections to inetd-mode servers that also allow Protocol 1 (bz#440)
  • Accept the PermitRootLogin directive in a sshd_config(5) Match block. Allows for, e.g. permitting root only from the local network.
  • Reworked sftp(1) argument splitting and escaping to be more internally consistent (i.e. between sftp commands) and more consistent with sh(1). Please note that this will change the interpretation of some quoted strings, especially those with embedded backslash escape sequences. (bz#778)
  • Support "Banner=none" in sshd_config(5) to disable sending of a pre-login banner (e.g. in a Match block).
  • ssh(1) ProxyCommands are now executed with $SHELL rather than /bin/sh.
  • ssh(1)'s ConnectTimeout option is now applied to both the TCP connection and the SSH banner exchange (previously it just covered the TCP connection). This allows callers of ssh(1) to better detect and deal with stuck servers that accept a TCP connection but don't progress the protocol, and also makes ConnectTimeout useful for connections via a ProxyCommand.
  • Many new regression tests, including interop tests against PuTTY's plink.
  • Support BSM auditing on Mac OS X
The following bugs have been fixed in this release:
  • scp(1) incorrectly reported "stalled" on slow copies. (bz#799)
  • scp(1) date underflow for timestamps before epoch. (bz#828)
  • scp(1) and sftp(1) progressmeter type fixes. (bz#842)
  • SSH2_MSG_UNIMPLEMENTED packets did not correctly reset the client keepalive logic, causing disconnections on servers that did not explicitly implement "keepalive@openssh.com". (bz#1307)
  • ssh(1) used the obsolete SIG DNS RRtype for host keys in DNS, instead of the current standard RRSIG. (bz#1317)
  • Extract magic buffer size constants in scp(1) to #defines. (bz#1333)
  • Correctly drain ACKs when a sftp(1) upload write fails midway, avoids a fatal() exit from what should be a recoverable condition. (bz#1354)
  • Avoid pointer arithmetic and strict aliasing warnings. (bz#1355)
  • Fixed packet size advertisements. Previously TCP and agent forwarding incorrectly advertised the channel window size as the packet size, causing fatal errors under some conditions. (bz#1360)
  • Document KbdInteractiveAuthentication in sshd_config(5). (bz#1367)
  • Fixed sftp(1) file handle leak on download when the local file could not be opened. (bz#1375)
  • Fixed ssh-keygen(1) selective host key hashing (i.e. "ssh-keygen -HF hostname") to not include any IP address in the data to be hashed. (bz#1376)
  • Fix clobbering of struct passwd from multiple getpwid calls, resulting in fatal errors inside tilde_expand_filename. (bz#1377)
  • Fix parsing of port-forwarding specifications to correctly detect errors in either specified port number. (bz#1378)
  • Fix memory leak in ssh(1) ~ escape commandline handling. (bz#1379)
  • Make ssh(1) skip listening on the IPv6 wildcard address when a binding address of 0.0.0.0 is used against an old SSH server that does not support the RFC4254 syntax for wildcard bind addresses. (bz#1381)
  • Remove extra backslashes in the RB_PROTOTYPE macro definition. (bz#1385)
  • Support ssh(1) RekeyLimits up to the maximum allowed by the protocol: 2**32-1. (bz#1390)
  • Enable IPV6_V6ONLY socket option on sshd(8) listen socket, as is already done for X11/TCP forwarding sockets. (bz#1392)
  • Fix FD leak that could hang a ssh(1) connection multiplexing master. (bz#1398)
  • Improve error messages when hostname resolution fails due to a system error. (bz#1417)
  • Make ssh(1) -q option documentation consistent with reality. (bz#1427 bz#1429)
Portable OpenSSH bugs fixed:
  • Fixed sshd(8) PAM support not calling pam_session_close(), or failing to call it with root privileges. (bz#926)
  • Made sshd(8) use configuration-specified SyslogFacility for hosts_access(3) messages for denied connections. (bz#1042)
  • Implement getgrouplist(3) for AIX, enabling NSS LDAP to work on this platform. (bz#1081)
  • Fix compilation errors on AIX due to misdefinition of LLONG_MAX. (bz#1347)
  • Force use of local glob(3) implementation on Mac OS X and FreeBSD, as the platform versions lack features or have unexpected behaviour. (bz#1407)
  • Reduce stdout/stderr noise from ssh-copy-id. (bz#1431)
  • Fix activation of OpenSSL engine support when requested in configure. (bz#1437)
[break]
Gnome Terminal 2.18.1 draait OpenSSH 4.6 op Arch Linux 2007.05
Versienummer 4.9
Releasestatus Final
Besturingssystemen Linux, BSD, macOS, Solaris, UNIX
Website OpenSSH
Download ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/openssh-4.9.tar.gz
Bestandsgrootte 435,00kB
Licentietype Voorwaarden (GNU/BSD/etc.)

Door Robin Vreuls

Doktersteam

02-04-2008 • 12:05

12 Linkedin

Submitter: Anoniem: 57996

Bron: OpenSSH

Update-historie

11-05 OpenSSH 9.0 1
10-'21 OpenSSH 8.8 0
04-'19 OpenSSH 8.0 4
03-'15 OpenSSH 6.8 1
03-'10 OpenSSH 5.4 12
10-'09 OpenSSH 5.3 9
02-'09 OpenSSH 5.2 7
07-'08 Openssh 5.1 3
04-'08 OpenSSH 5.0 7
04-'08 OpenSSH 4.9 12
Meer historie

Reacties (12)

Wijzig sortering
Weet jij dan misschien ook uit te leggen wat dat precies inhoud? Voor zover mij bekend kon ik altijd al chrooten via ssh. Het zal dan wellicht ook iets anders zijn dan waar ik momenteel aan denk...

Zo ja.. wat bied die support? Wat is daar het voordeel van?
Anoniem: 57996
@dsmink2 april 2008 13:15
Met deze ondersteuning kan je gebruikers bij het inloggen in choot omgeving stoppen. Met een choot verander je de filesystem root zodat de gebruiker niet toegang heeft tot het volledige filesysteem.

Dit kon voorheen niet, alleen met een gepatchteversie van openssh.
Ja, oke.. wat chroot doet wist ik... Maar als ik de eerdere reactie goed begrepen heb, dan kan ssh dat nu dus standaard... zonder dat je bijvoorbeeld zelf bash scriptjes of iets dergelijks hoeft te laten uitvoeren ten tijde het starten van de remote shell. Ssh doet dat nu zelf voor je... (indien gewenst natuurlijk)

TNX!
Anoniem: 57996
@dsmink2 april 2008 14:34
ja klopt :) chrooten kan trouwens niet via een shell scriptje omdat je er root rechten voor nodig hebt.
aha :) klopt als een bus... niet bij nagedacht.. Kan me voorstellen dat dit inderdaad gewild is :)

TNX! (again)
Tot nu toe was het niet triviaal om sshd in een chroot-omgeving te draaien. Met deze versie kan dat out of the box.
Leuk ook om eens deze patchset te proberen: http://www.psc.edu/networking/projects/hpn-ssh/

Werkt voor mij een stuk sneller, via WAN.

Overigens raad ik de NONE cipher mode af, wat inhoud dat je geen encryptie meer hebt. Leuk om er mee te testen, maar ik zie geen andere reden om dat te gebruiken.

[Reactie gewijzigd door eghie op 2 april 2008 22:30]

Anoniem: 57996
@eghie3 april 2008 16:44
Deze patchset werkt met threads, hier hebben ze bij Openssh met opzet niet voor gekozen omdat er zo makkelijk "race condities" kunnen voordoen. Deze "race condities" zijn voor ontwikkelaars lastig te achterhalen. Ik zou de patchset zelf dan ook niet gebruiken, maar gebruik maken van een ander protocol als ik zulke snelheden zou willen halen.

edit:
De "race condities" is niet de enige reden dat ze niet gebruik maken van threads, op de openbsd-misc mailing list is een discussie waar ze verschillende argumenten geven waarom ze niet gebruik maken van threads.

[Reactie gewijzigd door Anoniem: 57996 op 3 april 2008 16:50]

jemig, die screenshot is wel evil zeg, direct inloggen als root? (met een password nog wel, met keys is dat nog wel redelijk acceptabel)
Valt wel mee hoor het is zo te zien gewoon lokaal dus het gaat niet over internet ofzo
Anoniem: 57996
2 april 2008 12:48
eindelijk chroot support :)

Op dit item kan niet meer gereageerd worden.

Kies score Let op: Beoordeel reacties objectief. De kwaliteit van de argumentatie is leidend voor de beoordeling van een reactie, niet of een mening overeenkomt met die van jou.

Een uitgebreider overzicht van de werking van het moderatiesysteem vind je in de Moderatie FAQ.

Rapporteer misbruik van moderaties in Frontpagemoderatie.




Google Pixel 7 Sony WH-1000XM5 Apple iPhone 14 Samsung Galaxy Watch5, 44mm Sonic Frontiers Samsung Galaxy Z Fold4 Insta360 X3 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee