Software-update: OpenSSH 5.2

OpenSSH logoOpenSSH is een implementatie van het ssh-protocol, waarmee versleutelde verbindingen tussen (meestal) *nix-machines gemaakt kunnen worden. Door velen wordt het programma als een veiliger alternatief voor telnet en rlogin gezien. De ontwikkelaars achter OpenSSH hebben in de vorm van versie 5.2 een nieuwe stable build vrijgegeven. De nieuwe versie is hier te downloaden en neemt als tarball ongeveer 477 kilobyte schijfruimte in beslag. Het changelog van OpenSSH 5.2 ziet er als volgt uit:

Security:
  • This release changes the default cipher order to prefer the AES CTR modes and the revised "arcfour256" mode to CBC mode ciphers that are susceptible to CPNI-957037 "Plaintext Recovery Attack Against SSH".
  • This release also adds countermeasures to mitigate CPNI-957037-style attacks against the SSH protocol's use of CBC-mode ciphers. Upon detection of an invalid packet length or Message Authentication Code, ssh/sshd will continue reading up to the maximum supported packet length rather than immediately terminating the connection. This eliminates most of the known differences in behaviour that leaked information about the plaintext of injected data which formed the basis of this attack. We believe that these attacks are rendered infeasible by these changes.
New features:
  • Added a -y option to ssh(1) to force logging to syslog rather than stderr, which is useful when running daemonised (ssh -f)
  • The sshd_config(5) ForceCommand directive now accepts commandline arguments for the internal-sftp server.
  • The ssh(1) ~C escape commandline now support runtime creation of dynamic (-D) port forwards.
  • Support the SOCKS4A protocol in ssh(1) dynamic (-D) forwards. (bz#1482)
  • Support remote port forwarding with a listen port of '0'. This informs the server that it should dynamically allocate a listen port and report it back to the client. (bz#1003)
  • sshd(8) now supports setting PermitEmptyPasswords and AllowAgentForwarding in Match blocks
Bug and documentation fixes
  • Repair a ssh(1) crash introduced in openssh-5.1 when the client is sent a zero-length banner (bz#1496)
  • Due to interoperability problems with certain broken SSH implementations, the eow@openssh.com and no-more-sessions@openssh.com protocol extensions are now only sent to peers that identify themselves as OpenSSH.
  • Make ssh(1) send the correct channel number for SSH2_MSG_CHANNEL_SUCCESS and SSH2_MSG_CHANNEL_FAILURE messages to avoid triggering 'Non-public channel' error messages on sshd(8) in openssh-5.1.
  • Avoid printing 'Non-public channel' warnings in sshd(8), since the ssh(1) has sent incorrect channel numbers since ~2004 (this reverts a behaviour introduced in openssh-5.1).
  • Avoid double-free in ssh(1) ~C escape -L handler (bz#1539)
  • Correct fail-on-error behaviour in sftp(1) batchmode for remote stat operations. (bz#1541)
  • Disable nonfunctional ssh(1) ~C escape handler in multiplex slave connections. (bz#1543)
  • Avoid hang in ssh(1) when attempting to connect to a server that has MaxSessions=0 set.
  • Multiple fixes to sshd(8) configuration test (-T) mode
  • Several core and portable OpenSSH bugs fixed: 1380, 1412, 1418, 1419, 1421, 1490, 1491, 1492, 1514, 1515, 1518, 1520, 1538, 1540
  • Many manual page improvements.
Versienummer 5.2
Releasestatus Final
Besturingssystemen Linux, BSD, macOS, UNIX
Website OpenSSH
Download ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/openssh-5.2.tar.gz
Bestandsgrootte 477,00kB
Licentietype Voorwaarden (GNU/BSD/etc.)

Door Robin Vreuls

Doktersteam

24-02-2009 • 12:27

7 Linkedin

Bron: OpenSSH

Update-historie

11-05 OpenSSH 9.0 1
10-'21 OpenSSH 8.8 0
04-'19 OpenSSH 8.0 4
03-'15 OpenSSH 6.8 1
03-'10 OpenSSH 5.4 12
10-'09 OpenSSH 5.3 9
02-'09 OpenSSH 5.2 7
07-'08 Openssh 5.1 3
04-'08 OpenSSH 5.0 7
04-'08 OpenSSH 4.9 12
Meer historie

Reacties (7)

Wijzig sortering
Gezien de security items die aangepakt zijn een noodzakelijke update voor elk systeem.
Gezien de obscure aard van de security items en door de betreffende (veelal ongebruikte) ciphers valt dat wel mee.
Gezien de obscure aard van de security items en door de betreffende (veelal ongebruikte) ciphers valt dat wel mee.
en da's nou precies het hele eieren eten met security updates, een goeie evaluatie van de problematiek, en kijken of het opgaat.

een local-exploit voor een syteem zonder local users? big deal. Een exploit (zoals nu) in ongebruikte cyphers? Laat maar.

ik wacht ook nog wel even, tot ie in FreeBSD 7.x zit :)
een local-exploit voor een syteem zonder local users? big deal.
Die wil ik wel even kraken. ;-) -- Je moet er dan wel rekening mee houden dat eigenlijk elk programma dat niet als root draait ook effectief een "local user" is, waardoor een beveiligingsprobleem in zo'n programma in combinatie met een "local root exploit" toch voor de nodige narigheid kan zorgen.

(Aangezien je FreeBSD lijkt te gebruiken hoef je voor die laatste aanzienlijk minder bang te zijn als de gemiddelde Linux-gebruiker.)
En gezien het feit dat zulk soort security fixes door distros gebackport worden naar de versie die ze onderhouden (RHEL5 gebruikt bijv OpenSSH 4.3) zal het nog wel even duren voordat we 5.2 als update zullen zien.

'Een noodzakelijke update voor elk systeem' lijkt me daarom een verkeerde stelling.
waar blijft de windows versie :(
Er bestaat wel een windows-versie, moet je gewoon even beter zoeken. (ff in Fx een Google search doen?)

Mocht je nu van deze een Win32-binary willen hebbem dan moet je gewoon even de broncode van de Windows versie samen met deze versie voegen en je kunt er zelf eentje bakken :Y)

De ontwikkelaars van OpenSSH zelf, die hebben echter blijkbaar geen zin in het werk dat nodig is voor de Windows-versie. Tel daarbij op dat OpenSSH juist op een Unix-like OS heel nuttig is en een stuk minder onder Windows (niet direct nutteloos, maar ook niet zo nutig als onder *nix). Wat je daar uit krijgt is dat men zich dus gewoon focussed op de Unix-achtigen en Win32 aan derden over laat...

Dus of je wacht tot de mensen van de Win32-versie een poort maken of je maakt er gewoon zelf een... O-)

Op dit item kan niet meer gereageerd worden.

Kies score Let op: Beoordeel reacties objectief. De kwaliteit van de argumentatie is leidend voor de beoordeling van een reactie, niet of een mening overeenkomt met die van jou.

Een uitgebreider overzicht van de werking van het moderatiesysteem vind je in de Moderatie FAQ.

Rapporteer misbruik van moderaties in Frontpagemoderatie.




Google Pixel 7 Sony WH-1000XM5 Apple iPhone 14 Samsung Galaxy Watch5, 44mm Sonic Frontiers Samsung Galaxy Z Fold4 Insta360 X3 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee