После пяти месяцев разработки опубликован релиз OpenSSH 9.4, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP.
Основные изменения:
- В утилите ssh разрешено перенаправление на другой хост Unix-сокетов, используя команду «ssh -W».
- В файл конфигурации ssh_config добавлена директива «Tag» и операция сопоставления «Match tag», позволяющие использовать теги для определения условий выбора определённого блока конфигурации.
Match Address 192.168.0.* Tag trusted Match Group wheel Tag trusted Match Tag trusted AllowTcpForwarding yes - В ssh добавлена операция сопоставления «Match localnetwork» для привязки к адресам локальных сетевых интерфейсов.
- В ssh, sshd и ssh-keygen добавлена возможность подключения расширений в формате KRL. Сами расширения на данном этапе разработки ещё недоступны.
- В sshd в директивах AuthorizedPrincipalsCommand и AuthorizedKeysCommand реализована поддержка %-подстановок: «%D» для подстановки адреса шлюза, через который маршрутизируется текущий сеанс, и «%C» для подстановки адресов и номеров портов локальной и удалённой стороны соединения.
- В утилите ssh-keygen по умолчанию на 50% увеличено число раундов в функции bcrypt при генерации ключей симметричного шифрования файлов с ключами, защищёнными паролем.
- Прекращена поддержка старых версий библиотеки libcrypto. Для сборки теперь требуется наличие как минимум версии LibreSSL 3.1.0 или OpenSSL 1.1.1.
- В качестве дополнительного пути блокирования уязвимости, связанной с возможностью загрузки модулей PKCS#11 в ssh-agent, запрещено указание относительных и неполных путей к модулям (ранее функция dlopen производила поиск модуля по имени в каталоге с библиотеками).
>>> Подробности
