版本信息:OpenSSH 10.8 发布于2022-04-09,从https://www.openssh.com/获取。 安全更新: - 移除了对弱DSA签名算法的支持,完成了自OpenSSH 7.0开始的弃用过程。 - 禁用了通过sshfs或sftp触发的“ControlMaster no”到ssh的隐式会话创建,防止了某些用户的意外行为。 - 移除了sshd中用于处理连接的sshd-session二进制代码,减少了攻击面。 - 默认禁用了有限域Diffie-Hellman密钥交换方法,改为使用更安全的椭圆曲线Diffie-Hellman方法。 - 移除了隐式回退到编译时默认的Moduli文件的行为,提高了安全性。 新功能: - 支持混合后量子算法mikeN76x25519-sha256,增加了对量子计算机攻击的抵抗力。 - 在选择连接的密码时优先考虑AES-GCM和AES-CTR模式。 - 添加了对.ssh/config中的“Match version”支持,允许根据本地OpenSSH版本进行配置。 - 添加了对.ssh/config中的“Match sessiontype”支持,区分交互、命令执行、子系统等会话类型。 - 允许.ssh/config和sshd_config中的%t和%v变量扩展,除了'r'和'u'外,避免自引用错误。 - 添加了对.ssh/config中的“Match command ...”支持,匹配命令行指定的命令。 - 全局添加了对.ssh/config中的“Match tag”和“Match command”标签的支持。 - ssh-keygen(1)支持返回无认证数据的FIDO令牌。 - ssh-agent(1)添加了“-Owebauthn-allow=”选项,允许覆盖默认的FIDO2应用ID允许列表。 - 添加了一个工作中的工具来验证FIDO认证块,以确保它们来自受信任的FIDO密钥。 - ssh-keyscan(1)允许“--”作为模块筛选输出文件。 Bug修复: - 修复了DisableForwarding指令未能正确禁用X11转发和代理转发的问题。 - 修复了在存在最近的X11转发通道流量时启动ObscureKeyStrokesTiming缓解措施的问题。 - 修复了在主机名中接受下划线作为第一个字符的问题。 - 修复了在恢复“put”时设置高水位线的问题,防止了死锁。 - 修复了在.ssh/config和任何配置源中包含空字符串的情况。 - 修复了在LoginsGraceTime超时时不正确地使用“crash”惩罚的问题。 - 修复了在初始配置传递过程中不正确激活PermitEmptyPasswords的问题。 - 修复了用户特定延迟的调试日志记录问题。 - 改进了跨子进程边界的调试日志记录。 - 要求通过-e“-x”命令行传递的控制转义字符序列恰好为两个字符长。 - 防止在X11端口转发中发生整数溢出。 - 使用RSA密钥签名消息时,不要搞乱ssh-keygen -L的输出。 - 添加了速率限制到由PerSourceMaxTries丢弃的连接的日志记录。 - 修复了.ssh/config中的“compression”指令的参数。 - 修复了当ssh客户端尝试接受由持有主机密钥的代理提供的签名时触发的角落案例。 - 当使用特定签名算法的内置支持被用来存储密钥时,修复了ssh-keygen(1)。 - 当请求的签名算法与默认或rsa-sha2-512不同,但可能被所有签名后端支持时,修复了ssh-keygen(1)。