OpenSSH

OpenSSH는 GNU / Linux 운영 체제의 백그라운드에서 실행되며 침입자와 공격자로부터 전체 네트워크를 보호하는 무료 배포 및 오픈 소스 소프트웨어 프로젝트입니다. 라이브러리 및 명령 줄 프로그램입니다.

를 위해 특별히 설계된 SSH (Secure Shell) 사양의 오픈 소스 버전입니다.
기능 요약

OpenSSH는 무료 라이센스하에 배포되는 오픈 소스 프로젝트입니다. 공개 키, Kerberos 인증 및 일회용 암호 표준, AES, Blowfish, Arcfour 및 3DES 알고리즘을 기반으로 한 강력한 암호화, AFS 및 X 윈도우 시스템 트래픽 전체를 암호화하여 X11 포워딩을 지원하는 강력한 인증을 제공합니다. Kerberos 티켓 전달.

또한 SSO (Single-Sign-On) 인증 표준과 SFTP (Secure FTP) 서버 및 클라이언트 지원을 사용하여 레거시 프로토콜, 데이터 압축 지원, 에이전트 전달 지원을위한 채널을 암호화하여 소프트웨어 기능 포트 전달을 지원합니다. SSH2 또는 SSH1 프로토콜.

또 다른 흥미로운 기능은 상호 운용성입니다. 즉, 프로젝트가 원래 SSH (Secure Shell) 프로토콜의 1.3, 1.5 및 2.0 버전을 준수한다는 것을 의미합니다. 설치가 완료되면 OpenSSH는 표준 FTP, Telnet, RCP 및 rlogin 프로그램을 SFTP, SCP 및 SSH와 같은 보안 버전으로 자동 대체합니다.

후드, 가용성 및 지원 OS

OpenSSH 프로젝트는 전적으로 C 프로그래밍 언어로 작성되었습니다. 이것은 주요 SSH 구현과 백그라운드에서 실행되는 SSH 데몬으로 구성됩니다. 이 소프트웨어는 주로 범용 소스 아카이브로 배포되며 32 비트 및 64 비트 아키텍처의 모든 GNU / Linux 운영 체제에서 작동합니다.

휴대용 OpenSSH

PortableSSH 프로토콜의 휴대용 버전은 Portable OpenSSH라고하는 무료로 Softoware에서 다운로드 할 수 있습니다. Linux, BSD 및 Solaris 운영 체제 용 SSH 버전 1 및 SSH 버전 2 프로토콜의 오픈 소스 구현입니다.

이 릴리스의 새로운 기능 :

잠재적으로 호환되지 않는 변경 사항 :
이 릴리스에는 기존 구성에 영향을 줄 수있는 여러 가지 변경 사항이 포함되어 있습니다.
이 릴리스는 SSH v.1 프로토콜에 대한 서버 지원을 제거합니다.
ssh (1) : 클라이언트의 기본 제안에서 3des-cbc를 제거합니다. 64 비트 블록 암호는 2016 년에 안전하지 않으며 SWEET32와 같은 공격이 SSH로 확장 될 때까지 기다릴 필요가 없습니다. SSH RFC의 유일한 필수 암호는 3des-cbc이므로 기본 구성을 사용하는 구형 장치에 연결하는 데 문제가 발생할 수 있지만 이러한 장치에는 이미 키 교환 및 호스트 키 알고리즘에 대한 명시 적 구성이 필요합니다. sshd (8) : 사전 인증 압축에 대한 지원을 제거합니다. 프로토콜 초기에 압축을하는 것은 아마도 1990 년대에 합리적으로 보였을 것이지만 오늘날에는 암호화 (TLS의 다중 압축 오라클 공격 참조)와 공격 표면이라는 측면에서 분명히 나쁜 생각입니다. 사전 인증 압축 지원은 & gt; 10 년 동안 기본적으로 사용 중지되었습니다. 지원은 클라이언트에 남아 있습니다. ssh-agent는 기본적으로 신뢰할 수있는 경로의 허용 목록 밖에 PKCS # 11 모듈을로드하는 것을 거부합니다. 경로 화이트리스트는 런타임에 지정할 수 있습니다.

sshd (8) : 강제 명령이 인증서와 권한이있는 키 / 주체 명령 / 명령 모두에 나타나면 sshd는 동일하지 않으면 인증서를 받아들이지 않습니다. 인증서 강제 명령이 다른 것을 재정의하는 이전 (문서화 된) 동작은 약간 혼란스럽고 오류가 발생하기 쉽습니다. sshd (8) : UseLogin 구성 지시문을 제거하고 / bin / login에서 로그인 세션을 관리하도록 지원합니다.
OpenSSH 7.3 이후 변경된 사항 :
보안:
ssh-agent (1) : 트러스트 된 허용 목록 외부의 경로에서 PKCS # 11 모듈을로드하는 것을 거부합니다 (런타임 구성 가능). 모듈로드 요청은 에이전트 전달을 통해 전달 될 수 있으며 공격자는 전달 된 에이전트 채널에 적대적인 PKCS # 11 모듈을로드하려고 시도 할 수 있습니다. PKCS # 11 모듈은 공유 라이브러리이므로 ssh를 실행하는 시스템에서 코드가 실행됩니다 - 공격자가 sshd 서버를 실행하는 호스트에서 전달 된 에이전트 소켓을 제어하고 ssh-agent (일반적으로 ssh 클라이언트를 실행하는 호스트)를 실행하는 호스트의 파일 시스템에 쓸 수있는 능력을 가진 경우. Project Zero의 Jann Horn에 의해보고 됨.sshd (8) : 권한 분리가 불가능할 때, 전달 된 유닉스 - 도메인 소켓은 인증 된 사용자 대신에 'root'의 권한으로 sshd (8)에 의해 생성됩니다. 이 릴리스는 권한 분리가 비활성화 된 경우 Unix 도메인 소켓 전달을 거부합니다 (권한 분리는 기본적으로 14 년간 활성화되었습니다). Project Zero의 Jann Horn에 의해보고 됨.
sshd (8) : 키를 읽을 때 realloc ()을 통해 권한으로 구분 된 자식 프로세스에 대한 호스트 개인 키 자료의 이론적 유출을 피하십시오. 실제로 정상적인 크기의 키에 대해서는 그러한 누출이 관찰되지 않았으며, 하위 프로세스로의 누설은 권한이없는 사용자에게 키 자료를 직접 노출하지도 않습니다. Project Zero의 Jann Horn에 의해보고 됨.sshd (8) : 사전 인증 압축 지원에서 사용하는 공유 메모리 관리자는 일부 최적화 컴파일러에서 생략 할 수있는 범위 검사를 가지고 있습니다. 또한이 메모리 관리자는 사전 인증 압축이 해제되었을 때 잘못 액세스 할 수있었습니다. 이로 인해 잠재적으로 샌드 박스 된 권한 분리 프로세스에서 권한이 부여 된 모니터 프로세스에 대한 공격을 허용 할 수 있습니다 (후자의 절충안이 먼저 필요합니다). 이 릴리스는 sshd (8)에서 사전 인증 압축에 대한 지원을 제거합니다. 스택 불안정 최적화 식별 도구 (http://css.csail.mit.edu/stack/)를 사용하여 Guido Vranken이보고했습니다.
sshd (8) : 여러 KEXINIT 메시지를 보내는 공격자가 연결 당 최대 128MB를 소비 할 수있는 서비스 거부 상태를 수정합니다. Qihoo 360 기어 팀의 Shi Lei가보고 함.
sshd (8) : 구성로드 시간에 AllowUser 및 DenyUsers 지시문에 대한 주소 범위를 확인하고 잘못된 값을 허용하지 않습니다. 이전에는 잘못된 CIDR 주소 범위 (예 : user@127.1.2.3/55)를 지정할 수 있었지만 항상 일치하므로 사용자가 의도하지 않은 액세스 권한을 부여 할 수있었습니다. Laurence Parry에 의해보고 됨.
새로운 기능 :ssh (1) : Simon Tatham의 PuTTY 버전에서 영감을 얻은 ssh (1)에 프록시 멀티플렉싱 모드를 추가합니다. 이를 통해 멀티플렉싱 클라이언트는 Unix 도메인 소켓을 통해 SSH 패킷 및 채널 프로토콜의 하위 집합을 사용하여 마스터 프로세스와 통신 할 수 있으며 채널 ID 등을 변환하는 프록시 역할을하는 기본 프로세스가 있습니다. 이렇게하면 멀티플렉싱 모드를 현재의 멀티플렉싱 코드에 의해 사용되는 파일 설명자가 전달되지 않고 잠재적으로 Unix 도메인 소켓 전달과 함께 클라이언트와 멀티플렉싱 마스터 프로세스가 다른 시스템에있는 시스템. 멀티플렉싱 프록시 모드는 & quot; ssh -O proxy ... & quot;를 사용하여 호출 할 수 있습니다.
sshd (8) : X11, 에이전트, TCP, 터널 및 Unix 도메인 소켓 포워딩을 비활성화하는 sshd_config DisableForwarding 옵션과 향후 구현할 수있는 다른 옵션을 추가하십시오. 'restrict'authorized_keys 플래그와 마찬가지로 이것은 간단하고 미래를 보장하는 계정 제한 방법입니다.
sshd (8), ssh (1) : "curve25519-sha256"지원. 키 교환 방법. 이것은 현재 지원되는 방법 "curve25519-sha256@libssh.org"와 동일합니다.sshd (8) : 시작시 sshd가 이미 daemonised되었는지 확인하고 daemon (3) 호출을 건너 뛰면 SIGHUP 처리를 향상시킵니다. 이것은 sshd (8)의 SIGHUP 재시작이 초기 실행과 동일한 프로세스 ID를 유지하도록합니다. 또한 sshd (8)는 SIGHUP을 다시 시작하기 전에 PidFile을 연결 해제하고 구성 오류의 경우 부실 파일을 남기지 않고 성공적으로 재시작 한 후 다시 작성합니다. bz # 2641
sshd (8) : ClientAliveInterval 및 ClientAliveCountMax 지시문을 sshd_config 일치 블록에 표시 할 수 있습니다.
sshd (8) : authorizedPrincipalsCommand에 % -escapes를 추가하여 AuthorizedKeysCommand (키, 키 유형, 지문 등)가 지원하는 것을 일치시키고 제공되는 인증서의 내용에 대한 액세스를 제공합니다.
문자열 일치, 주소 일치 및 문자열 sanitisation 기능에 대한 회귀 테스트를 추가했습니다.
키 교환 fuzzer 하네스가 향상되었습니다.
버그 수정:
ssh (1) : IdentityFile이 해당 공개 키가없는 인증서를 성공적으로로드하고 사용할 수있게합니다. bz # 2617 certificate id_rsa-cert.pub (id_rsa.pub는 없습니다).ssh (1) : 다중 인증이 사용 중일 때 공개 키 인증을 수정하고 공개 키는 시도 된 첫 번째 메소드가 아닙니다. bz # 2642
regress : PuTTY interop 테스트가 무인으로 실행되도록 허용하십시오. bz # 2639
ssh-agent (1), ssh (1) : 쓸모없는 로그 메시지가 적고 디버그 메시지에 더 많은 정보가 포함 된 PKCS # 11 토큰에서 키를로드하려고 할 때보고 기능을 향상시킵니다. bz # 2610
ssh (1) : ControlMaster 연결을 끊을 때 LogLevel = quiet 인 경우 stderr을 오염시키지 마십시오.
sftp (1) : On ^ Z는 ssh (1)가 암호 프롬프트에서 일시 중단 된 경우 터미널 모드를 올바르게 복원하도록 sftp (1)을 일시 중단하기 전에 기본 ssh (1)이 일시 중단 될 때까지 대기합니다.
ssh (1) : 비밀 번호 프롬프트 중에 ssh (1)가 일시 중단 될 때 busy-wait를 피하십시오.
ssh (1), sshd (8) : 정보 메시지를 보내는 동안 오류를 올바르게보고합니다.
sshd (8) : sshd (8)가 out-of-sequence NEWKEYS 메시지를 수신하면 NULL-deref 충돌을 수정합니다.
sshd (8) : server-sig-algs 확장에서 보낸 지원되는 서명 알고리즘의 올바른 목록. bz # 2547
sshd (8) : privsep가 비활성화 된 경우 ext_info 메시지를 보냅니다.sshd (8) : 인증에 사용되는 권한 분리 모니터 호출의 예상 된 순서를보다 엄격하게 시행하고 해당 인증 메소드가 구성에서 사용 가능할 때만 허용합니다.
sshd (8) : getsockopt () 호출에서 초기화되지 않은 optlen을 수정합니다. Unix / BSD에서는 무해하지만 Cygwin에서는 잠재적으로 충돌 할 수 있습니다.
explicit_bzero (3)가 -fsanitize-memory로 컴파일 될 때 메모리 이니셜 라이저로 인식되지 않음으로 인한 잘못된 긍정적 인 보고서를 수정했습니다. sshd_config (5) : 구성 예는 공식 IPv6 서브넷 인 2001 : db8 :: / 32를 사용하십시오.
이식성 :
터키어 로켈로 구성된 환경에서 해당 로켈의 고유 한 'i'및 'I'처리로 인한 구성 구문 분석 오류를 방지하려면 C / POSIX 로켈로 되돌아갑니다. bz # 2643
sftp-server (8), ssh-agent (1) : ptrace (PT_DENY_ATTACH, ..)를 사용하여 OS X에서 ptrace 거부
ssh (1), sshd (8) : 오래된 (~ 0.9.8) OpenSSL에서 AES-CTR 암호를 해제합니다.
RIPEMD160 지원없이 컴파일 된 libcrypto에 대한 컴파일 문제를 수정했습니다.

contrib : GTK + 3를 지원하는 gnome-ssh-askpass3을 추가하십시오. bz # 2640 sshd (8) : 특권 분리를 통해 PRNG를 개선하고 libcrypto가 chroot 또는 sandboxing 전에 고품질 시드를 얻도록합니다.
All : 깨진 strnvis를 명시 적으로 테스트합니다. NetBSD는 strnvis를 추가했으며 불행히도 OpenBSD와 Linux의 libbsd (이전 버전은 10 년 이상 존재 해왔음)의 기존 버전과 호환되지 않습니다. 이 혼란을 감지하고 교차 컴파일하는 유일한 안전 옵션을 가정하십시오.

버전의 새로운 기능 :

잠재적으로 호환되지 않는 변경 사항 :
이 릴리스에는 기존 구성에 영향을 줄 수있는 여러 가지 변경 사항이 포함되어 있습니다.
이 릴리스는 SSH v.1 프로토콜에 대한 서버 지원을 제거합니다.
ssh (1) : 클라이언트의 기본 제안에서 3des-cbc를 제거합니다. 64 비트 블록 암호는 2016 년에 안전하지 않으며 SWEET32와 같은 공격이 SSH로 확장 될 때까지 기다릴 필요가 없습니다. SSH RFC의 유일한 필수 암호는 3des-cbc이므로 기본 구성을 사용하는 구형 장치에 연결하는 데 문제가 발생할 수 있지만 이러한 장치에는 이미 키 교환 및 호스트 키 알고리즘에 대한 명시 적 구성이 필요합니다. sshd (8) : 사전 인증 압축에 대한 지원을 제거합니다. 프로토콜 초기에 압축을하는 것은 아마도 1990 년대에 합리적으로 보였을 것이지만 오늘날에는 암호화 (TLS의 다중 압축 오라클 공격 참조)와 공격 표면이라는 측면에서 분명히 나쁜 생각입니다. 사전 인증 압축 지원은 & gt; 10 년 동안 기본적으로 사용 중지되었습니다. 지원은 클라이언트에 남아 있습니다. ssh-agent는 기본적으로 신뢰할 수있는 경로의 허용 목록 밖에 PKCS # 11 모듈을로드하는 것을 거부합니다. 경로 화이트리스트는 런타임에 지정할 수 있습니다.

sshd (8) : 강제 명령이 인증서와 권한이있는 키 / 주체 명령 / 명령 모두에 나타나면 sshd는 동일하지 않으면 인증서를 받아들이지 않습니다. 인증서 강제 명령이 다른 것을 재정의하는 이전 (문서화 된) 동작은 약간 혼란스럽고 오류가 발생하기 쉽습니다. sshd (8) : UseLogin 구성 지시문을 제거하고 / bin / login에서 로그인 세션을 관리하도록 지원합니다.
OpenSSH 7.3 이후 변경된 사항 :
보안:
ssh-agent (1) : 트러스트 된 허용 목록 외부의 경로에서 PKCS # 11 모듈을로드하는 것을 거부합니다 (런타임 구성 가능). 모듈로드 요청은 에이전트 전달을 통해 전달 될 수 있으며 공격자는 전달 된 에이전트 채널에 적대적인 PKCS # 11 모듈을로드하려고 시도 할 수 있습니다. PKCS # 11 모듈은 공유 라이브러리이므로 ssh를 실행하는 시스템에서 코드가 실행됩니다 - 공격자가 sshd 서버를 실행하는 호스트에서 전달 된 에이전트 소켓을 제어하고 ssh-agent (일반적으로 ssh 클라이언트를 실행하는 호스트)를 실행하는 호스트의 파일 시스템에 쓸 수있는 능력을 가진 경우. Project Zero의 Jann Horn에 의해보고 됨.sshd (8) : 권한 분리가 불가능할 때, 전달 된 유닉스 - 도메인 소켓은 인증 된 사용자 대신에 'root'의 권한으로 sshd (8)에 의해 생성됩니다. 이 릴리스는 권한 분리가 비활성화 된 경우 Unix 도메인 소켓 전달을 거부합니다 (권한 분리는 기본적으로 14 년간 활성화되었습니다). Project Zero의 Jann Horn에 의해보고 됨.
sshd (8) : 키를 읽을 때 realloc ()을 통해 권한으로 구분 된 자식 프로세스에 대한 호스트 개인 키 자료의 이론적 유출을 피하십시오. 실제로 정상적인 크기의 키에 대해서는 그러한 누출이 관찰되지 않았으며, 하위 프로세스로의 누설은 권한이없는 사용자에게 키 자료를 직접 노출하지도 않습니다. Project Zero의 Jann Horn에 의해보고 됨.sshd (8) : 사전 인증 압축 지원에서 사용하는 공유 메모리 관리자는 일부 최적화 컴파일러에서 생략 할 수있는 범위 검사를 가지고 있습니다. 또한이 메모리 관리자는 사전 인증 압축이 해제되었을 때 잘못 액세스 할 수있었습니다. 이로 인해 잠재적으로 샌드 박스 된 권한 분리 프로세스에서 권한이 부여 된 모니터 프로세스에 대한 공격을 허용 할 수 있습니다 (후자의 절충안이 먼저 필요합니다). 이 릴리스는 sshd (8)에서 사전 인증 압축에 대한 지원을 제거합니다. 스택 불안정 최적화 식별 도구 (http://css.csail.mit.edu/stack/)를 사용하여 Guido Vranken이보고했습니다.
sshd (8) : 여러 KEXINIT 메시지를 보내는 공격자가 연결 당 최대 128MB를 소비 할 수있는 서비스 거부 상태를 수정합니다. Qihoo 360 기어 팀의 Shi Lei가보고 함.
sshd (8) : 구성로드 시간에 AllowUser 및 DenyUsers 지시문에 대한 주소 범위를 확인하고 잘못된 값을 허용하지 않습니다. 이전에는 잘못된 CIDR 주소 범위 (예 : user@127.1.2.3/55)를 지정할 수 있었지만 항상 일치하므로 사용자가 의도하지 않은 액세스 권한을 부여 할 수있었습니다. Laurence Parry에 의해보고 됨.
새로운 기능 :ssh (1) : Simon Tatham의 PuTTY 버전에서 영감을 얻은 ssh (1)에 프록시 멀티플렉싱 모드를 추가합니다. 이를 통해 멀티플렉싱 클라이언트는 Unix 도메인 소켓을 통해 SSH 패킷 및 채널 프로토콜의 하위 집합을 사용하여 마스터 프로세스와 통신 할 수 있으며 채널 ID 등을 변환하는 프록시 역할을하는 기본 프로세스가 있습니다. 이렇게하면 멀티플렉싱 모드를 현재의 멀티플렉싱 코드에 의해 사용되는 파일 설명자가 전달되지 않고 잠재적으로 Unix 도메인 소켓 전달과 함께 클라이언트와 멀티플렉싱 마스터 프로세스가 다른 시스템에있는 시스템. 멀티플렉싱 프록시 모드는 & quot; ssh -O proxy ... & quot;를 사용하여 호출 할 수 있습니다.
sshd (8) : X11, 에이전트, TCP, 터널 및 Unix 도메인 소켓 포워딩을 비활성화하는 sshd_config DisableForwarding 옵션과 향후 구현할 수있는 다른 옵션을 추가하십시오. 'restrict'authorized_keys 플래그와 마찬가지로 이것은 간단하고 미래를 보장하는 계정 제한 방법입니다.
sshd (8), ssh (1) : "curve25519-sha256"지원. 키 교환 방법. 이것은 현재 지원되는 방법 "curve25519-sha256@libssh.org"와 동일합니다.sshd (8) : 시작시 sshd가 이미 daemonised되었는지 확인하고 daemon (3) 호출을 건너 뛰면 SIGHUP 처리를 향상시킵니다. 이것은 sshd (8)의 SIGHUP 재시작이 초기 실행과 동일한 프로세스 ID를 유지하도록합니다. 또한 sshd (8)는 SIGHUP을 다시 시작하기 전에 PidFile을 연결 해제하고 구성 오류의 경우 부실 파일을 남기지 않고 성공적으로 재시작 한 후 다시 작성합니다. bz # 2641
sshd (8) : ClientAliveInterval 및 ClientAliveCountMax 지시문을 sshd_config 일치 블록에 표시 할 수 있습니다.
sshd (8) : authorizedPrincipalsCommand에 % -escapes를 추가하여 AuthorizedKeysCommand (키, 키 유형, 지문 등)가 지원하는 것을 일치시키고 제공되는 인증서의 내용에 대한 액세스를 제공합니다.
문자열 일치, 주소 일치 및 문자열 sanitisation 기능에 대한 회귀 테스트를 추가했습니다.
키 교환 fuzzer 하네스가 향상되었습니다.
버그 수정:
ssh (1) : IdentityFile이 해당 공개 키가없는 인증서를 성공적으로로드하고 사용할 수있게합니다. bz # 2617 certificate id_rsa-cert.pub (id_rsa.pub는 없습니다).ssh (1) : 다중 인증이 사용 중일 때 공개 키 인증을 수정하고 공개 키는 시도 된 첫 번째 메소드가 아닙니다. bz # 2642
regress : PuTTY interop 테스트가 무인으로 실행되도록 허용하십시오. bz # 2639
ssh-agent (1), ssh (1) : 쓸모없는 로그 메시지가 적고 디버그 메시지에 더 많은 정보가 포함 된 PKCS # 11 토큰에서 키를로드하려고 할 때보고 기능을 향상시킵니다. bz # 2610
ssh (1) : ControlMaster 연결을 끊을 때 LogLevel = quiet 인 경우 stderr을 오염시키지 마십시오.
sftp (1) : On ^ Z는 ssh (1)가 암호 프롬프트에서 일시 중단 된 경우 터미널 모드를 올바르게 복원하도록 sftp (1)을 일시 중단하기 전에 기본 ssh (1)이 일시 중단 될 때까지 대기합니다.
ssh (1) : 비밀 번호 프롬프트 중에 ssh (1)가 일시 중단 될 때 busy-wait를 피하십시오.
ssh (1), sshd (8) : 정보 메시지를 보내는 동안 오류를 올바르게보고합니다.
sshd (8) : sshd (8)가 out-of-sequence NEWKEYS 메시지를 수신하면 NULL-deref 충돌을 수정합니다.
sshd (8) : server-sig-algs 확장에서 보낸 지원되는 서명 알고리즘의 올바른 목록. bz # 2547
sshd (8) : privsep가 비활성화 된 경우 ext_info 메시지를 보냅니다.sshd (8) : 인증에 사용되는 권한 분리 모니터 호출의 예상 된 순서를보다 엄격하게 시행하고 해당 인증 메소드가 구성에서 사용 가능할 때만 허용합니다.
sshd (8) : getsockopt () 호출에서 초기화되지 않은 optlen을 수정합니다. Unix / BSD에서는 무해하지만 Cygwin에서는 잠재적으로 충돌 할 수 있습니다.
explicit_bzero (3)가 -fsanitize-memory로 컴파일 될 때 메모리 이니셜 라이저로 인식되지 않음으로 인한 잘못된 긍정적 인 보고서를 수정했습니다. sshd_config (5) : 구성 예는 공식 IPv6 서브넷 인 2001 : db8 :: / 32를 사용하십시오.
이식성 :
터키어 로켈로 구성된 환경에서 해당 로켈의 고유 한 'i'및 'I'처리로 인한 구성 구문 분석 오류를 방지하려면 C / POSIX 로켈로 되돌아갑니다. bz # 2643
sftp-server (8), ssh-agent (1) : ptrace (PT_DENY_ATTACH, ..)를 사용하여 OS X에서 ptrace 거부
ssh (1), sshd (8) : 오래된 (~ 0.9.8) OpenSSL에서 AES-CTR 암호를 해제합니다.
RIPEMD160 지원없이 컴파일 된 libcrypto에 대한 컴파일 문제를 수정했습니다.

contrib : GTK + 3를 지원하는 gnome-ssh-askpass3을 추가하십시오. bz # 2640 sshd (8) : 특권 분리를 통해 PRNG를 개선하고 libcrypto가 chroot 또는 sandboxing 전에 고품질 시드를 얻도록합니다.
All : 깨진 strnvis를 명시 적으로 테스트합니다. NetBSD는 strnvis를 추가했으며 불행히도 OpenBSD와 Linux의 libbsd (이전 버전은 10 년 이상 존재 해왔음)의 기존 버전과 호환되지 않습니다. 이 혼란을 감지하고 교차 컴파일하는 유일한 안전 옵션을 가정하십시오.

버전 7.4의 새로운 기능 :

잠재적으로 호환되지 않는 변경 사항 :
이 릴리스에는 기존 구성에 영향을 줄 수있는 여러 가지 변경 사항이 포함되어 있습니다.
이 릴리스는 SSH v.1 프로토콜에 대한 서버 지원을 제거합니다.
ssh (1) : 클라이언트의 기본 제안에서 3des-cbc를 제거합니다. 64 비트 블록 암호는 2016 년에 안전하지 않으며 SWEET32와 같은 공격이 SSH로 확장 될 때까지 기다릴 필요가 없습니다. SSH RFC의 유일한 필수 암호는 3des-cbc이므로 기본 구성을 사용하는 구형 장치에 연결하는 데 문제가 발생할 수 있지만 이러한 장치에는 이미 키 교환 및 호스트 키 알고리즘에 대한 명시 적 구성이 필요합니다. sshd (8) : 사전 인증 압축에 대한 지원을 제거합니다. 프로토콜 초기에 압축을하는 것은 아마도 1990 년대에 합리적으로 보였을 것이지만 오늘날에는 암호화 (TLS의 다중 압축 오라클 공격 참조)와 공격 표면이라는 측면에서 분명히 나쁜 생각입니다. 사전 인증 압축 지원은 & gt; 10 년 동안 기본적으로 사용 중지되었습니다. 지원은 클라이언트에 남아 있습니다. ssh-agent는 기본적으로 신뢰할 수있는 경로의 허용 목록 밖에 PKCS # 11 모듈을로드하는 것을 거부합니다. 경로 화이트리스트는 런타임에 지정 될 수 있습니다.sshd (8) : 강제 명령이 인증서와 권한이있는 키 / 주체 명령 / 명령 모두에 나타나면 sshd는 동일하지 않으면 인증서를 받아들이지 않습니다. 인증서 강제 명령이 다른 것을 재정의하는 이전 (문서화 된) 동작은 약간 혼란스럽고 오류가 발생하기 쉽습니다. sshd (8) : UseLogin 구성 지시문을 제거하고 / bin / login에서 로그인 세션을 관리하도록 지원합니다.
OpenSSH 7.3 이후 변경된 사항 :
보안:
ssh-agent (1) : 트러스트 된 허용 목록 외부의 경로에서 PKCS # 11 모듈을로드하는 것을 거부합니다 (런타임 구성 가능). 모듈로드 요청은 에이전트 전달을 통해 전달 될 수 있으며 공격자는 전달 된 에이전트 채널에 적대적인 PKCS # 11 모듈을로드하려고 시도 할 수 있습니다. PKCS # 11 모듈은 공유 라이브러리이므로 ssh를 실행하는 시스템에서 코드가 실행됩니다 - 공격자가 sshd 서버를 실행하는 호스트에서 전달 된 에이전트 소켓을 제어하고 ssh-agent (일반적으로 ssh 클라이언트를 실행하는 호스트)를 실행하는 호스트의 파일 시스템에 쓸 수있는 능력을 가진 경우. Project Zero의 Jann Horn에 의해보고 됨.sshd (8) : 권한 분리가 불가능할 때, 전달 된 유닉스 - 도메인 소켓은 인증 된 사용자 대신에 'root'의 권한으로 sshd (8)에 의해 생성됩니다. 이 릴리스는 권한 분리가 비활성화 된 경우 Unix 도메인 소켓 전달을 거부합니다 (권한 분리는 기본적으로 14 년간 활성화되었습니다). Project Zero의 Jann Horn에 의해보고 됨.
sshd (8) : 키를 읽을 때 realloc ()을 통해 권한으로 구분 된 자식 프로세스에 대한 호스트 개인 키 자료의 이론적 유출을 피하십시오. 실제로 정상적인 크기의 키에 대해서는 그러한 누출이 관찰되지 않았으며, 하위 프로세스로의 누설은 권한이없는 사용자에게 키 자료를 직접 노출하지도 않습니다. Project Zero의 Jann Horn에 의해보고 됨.sshd (8) : 사전 인증 압축 지원에서 사용하는 공유 메모리 관리자는 일부 최적화 컴파일러에서 생략 할 수있는 범위 검사를 가지고 있습니다. 또한이 메모리 관리자는 사전 인증 압축이 해제되었을 때 잘못 액세스 할 수있었습니다. 이로 인해 잠재적으로 샌드 박스 된 권한 분리 프로세스에서 권한이 부여 된 모니터 프로세스에 대한 공격을 허용 할 수 있습니다 (후자의 절충안이 먼저 필요합니다). 이 릴리스는 sshd (8)에서 사전 인증 압축에 대한 지원을 제거합니다. 스택 불안정 최적화 식별 도구 (http://css.csail.mit.edu/stack/)를 사용하여 Guido Vranken이보고했습니다.
sshd (8) : 여러 KEXINIT 메시지를 보내는 공격자가 연결 당 최대 128MB를 소비 할 수있는 서비스 거부 상태를 수정합니다. Qihoo 360 기어 팀의 Shi Lei가보고 함.
sshd (8) : 구성로드 시간에 AllowUser 및 DenyUsers 지시문에 대한 주소 범위를 확인하고 잘못된 값을 허용하지 않습니다. 이전에는 잘못된 CIDR 주소 범위 (예 : user@127.1.2.3/55)를 지정할 수 있었지만 항상 일치하므로 사용자가 의도하지 않은 액세스 권한을 부여 할 수있었습니다. Laurence Parry에 의해보고 됨.
새로운 기능 :ssh (1) : Simon Tatham의 PuTTY 버전에서 영감을 얻은 ssh (1)에 프록시 멀티플렉싱 모드를 추가합니다. 이를 통해 멀티플렉싱 클라이언트는 Unix 도메인 소켓을 통해 SSH 패킷 및 채널 프로토콜의 하위 집합을 사용하여 마스터 프로세스와 통신 할 수 있으며 채널 ID 등을 변환하는 프록시 역할을하는 기본 프로세스가 있습니다. 이렇게하면 멀티플렉싱 모드를 현재의 멀티플렉싱 코드에 의해 사용되는 파일 설명자가 전달되지 않고 잠재적으로 Unix 도메인 소켓 전달과 함께 클라이언트와 멀티플렉싱 마스터 프로세스가 다른 시스템에있는 시스템. 멀티플렉싱 프록시 모드는 "ssh -O proxy ..."를 사용하여 호출 할 수 있습니다.
sshd (8) : X11, 에이전트, TCP, 터널 및 Unix 도메인 소켓 포워딩을 비활성화하는 sshd_config DisableForwarding 옵션과 향후 구현할 수있는 다른 옵션을 추가하십시오. 'restrict'authorized_keys 플래그와 마찬가지로 이것은 간단하고 미래를 보장하는 계정 제한 방법입니다.
sshd (8), ssh (1) : "curve25519-sha256"키 교환 방법을 지원하십시오. 이것은 현재 지원되는 방법 "curve25519-sha256@libssh.org"와 동일합니다.sshd (8) : 시작시 sshd가 이미 daemonised되었는지 확인하고 daemon (3) 호출을 건너 뛰면 SIGHUP 처리를 향상시킵니다. 이것은 sshd (8)의 SIGHUP 재시작이 초기 실행과 동일한 프로세스 ID를 유지하도록합니다. 또한 sshd (8)는 SIGHUP을 다시 시작하기 전에 PidFile을 연결 해제하고 구성 오류의 경우 부실 파일을 남기지 않고 성공적으로 재시작 한 후 다시 작성합니다. bz # 2641
sshd (8) : ClientAliveInterval 및 ClientAliveCountMax 지시문을 sshd_config 일치 블록에 표시 할 수 있습니다.
sshd (8) : authorizedPrincipalsCommand에 % -escapes를 추가하여 AuthorizedKeysCommand (키, 키 유형, 지문 등)가 지원하는 것을 일치시키고 제공되는 인증서의 내용에 대한 액세스를 제공합니다.
문자열 일치, 주소 일치 및 문자열 sanitisation 기능에 대한 회귀 테스트를 추가했습니다.
키 교환 fuzzer 하네스가 향상되었습니다.
버그 수정:
ssh (1) : IdentityFile이 해당 공개 키가없는 인증서를 성공적으로로드하고 사용할 수있게합니다. bz # 2617 certificate id_rsa-cert.pub (id_rsa.pub는 없습니다).ssh (1) : 다중 인증이 사용 중일 때 공개 키 인증을 수정하고 공개 키는 시도 된 첫 번째 메소드가 아닙니다. bz # 2642
regress : PuTTY interop 테스트가 무인으로 실행되도록 허용하십시오. bz # 2639
ssh-agent (1), ssh (1) : 쓸모없는 로그 메시지가 적고 디버그 메시지에 더 많은 정보가 포함 된 PKCS # 11 토큰에서 키를로드하려고 할 때보고 기능을 향상시킵니다. bz # 2610
ssh (1) : ControlMaster 연결을 끊을 때 LogLevel = quiet 인 경우 stderr을 오염시키지 마십시오.
sftp (1) : On ^ Z는 ssh (1)가 암호 프롬프트에서 일시 중단 된 경우 터미널 모드를 올바르게 복원하도록 sftp (1)을 일시 중단하기 전에 기본 ssh (1)이 일시 중단 될 때까지 대기합니다.
ssh (1) : 비밀 번호 프롬프트 중에 ssh (1)가 일시 중단 될 때 busy-wait를 피하십시오.
ssh (1), sshd (8) : 정보 메시지를 보내는 동안 오류를 올바르게보고합니다.
sshd (8) : sshd (8)가 out-of-sequence NEWKEYS 메시지를 수신하면 NULL-deref 충돌을 수정합니다.
sshd (8) : server-sig-algs 확장에서 보낸 지원되는 서명 알고리즘의 올바른 목록. bz # 2547
sshd (8) : privsep가 비활성화 된 경우 ext_info 메시지를 보냅니다.sshd (8) : 인증에 사용되는 권한 분리 모니터 호출의 예상 된 순서를보다 엄격하게 시행하고 해당 인증 메소드가 구성에서 사용 가능할 때만 허용합니다.
sshd (8) : getsockopt () 호출에서 초기화되지 않은 optlen을 수정합니다. Unix / BSD에서는 무해하지만 Cygwin에서는 잠재적으로 충돌 할 수 있습니다.
explicit_bzero (3)가 -fsanitize-memory로 컴파일 될 때 메모리 이니셜 라이저로 인식되지 않음으로 인한 잘못된 긍정적 인 보고서를 수정했습니다. sshd_config (5) : 구성 예는 공식 IPv6 서브넷 인 2001 : db8 :: / 32를 사용하십시오.
이식성 :
터키어 로켈로 구성된 환경에서 해당 로켈의 고유 한 'i'및 'I'처리로 인한 구성 구문 분석 오류를 방지하려면 C / POSIX 로켈로 되돌아갑니다. bz # 2643
sftp-server (8), ssh-agent (1) : ptrace (PT_DENY_ATTACH, ..)를 사용하여 OS X에서 ptrace 거부
ssh (1), sshd (8) : 오래된 (~ 0.9.8) OpenSSL에서 AES-CTR 암호를 해제합니다.
RIPEMD160 지원없이 컴파일 된 libcrypto에 대한 컴파일 문제를 수정했습니다.
contrib : GTK + 3를 지원하는 gnome-ssh-askpass3을 추가하십시오. bz # 2640 sshd (8) : 특권 분리를 통해 PRNG를 개선하고 libcrypto가 chroot 또는 sandboxing 전에 고품질 시드를 얻도록합니다.

전체 : 깨진 strnvis에 대해 명시 적으로 테스트합니다. NetBSD는 strnvis를 추가했으며 불행히도 OpenBSD와 Linux의 libbsd (이전 버전은 10 년 이상 존재 해왔음)의 기존 버전과 호환되지 않습니다. 이 혼란을 감지하고 교차 컴파일하는 유일한 안전 옵션을 가정하십시오.

버전 7.3의 새로운 기능 :

보안:
sshd (8) : sshd (8)를 통해 시스템의 crypt (3) 기능에 대한 잠재적 인 서비스 거부 공격을 완화합니다. 공격자는 crypt (3)에서 과도한 CPU 사용을 유발할 수있는 매우 긴 암호를 보낼 수 있습니다. 이제 sshd (8)는 1024 자 이상의 암호 인증 요청을 거부합니다. Tomas Kuthan (Oracle), Andres Rojas 및 Javier Nieto가 독립적으로보고했습니다.
sshd (8) : 긴 암호가 전송되고 특정 암호 해싱 알고리즘이 서버에서 사용 중일 때 유효하지 않은 계정 이름을 유효하게 식별하는 데 사용할 수있는 암호 인증의 타이밍 차이를 줄입니다. CVE-2016-6210, verd.com에서 EddieEzra.Harari가보고 함
ssh (1), sshd (8) : CBC 패딩 오라클 대책에서 관찰 가능한 타이밍 약점을 수정합니다. Jean Paul Degabriele, Kenny Paterson, Torben Hansen 및 Martin Albrecht가보고했습니다. CBC 암호는 기본적으로 사용되지 않으며 레거시 호환성을 위해서만 포함됩니다.ssh (1), sshd (8) : 임의의 암호문을 해독하기 전에 MAC을 확인하기 위해 MAC (Encrypt-then-MAC) 모드 전송 MAC 알고리즘에 대한 MAC 검증의 작동 순서를 향상시킵니다. 이것은 누출이 관찰되지는 않았지만, 평문에 대한 타이밍 차이의 누출 가능성을 제거합니다. Jean Paul Degabriele, Kenny Paterson, Torben Hansen 및 Martin Albrecht가보고했습니다. sshd (8) : (Portable에만 해당) UseLogin = yes 인 경우 PAM 환경 변수를 무시합니다. PAM이 sshd_config에서 사용자 지정 환경 변수 및 UseLogin = yes를 읽도록 구성된 경우 적대적인 로컬 사용자는 LD_PRELOAD 또는 PAM을 통해 설정된 유사 환경 변수를 통해 / bin / login을 공격 할 수 있습니다. CVE-2015-8325, Shayan Sadigh에 의해 발견됨.
새로운 기능 :
ssh (1) : ProxyJump 옵션과 해당 -J 명령 행 플래그를 추가하여 하나 이상의 SSH 요새 또는 "점프 호스트"를 통해 간접적 인 간접 접근을 허용합니다.
ssh (1) : IdentityAgent 옵션을 추가하여 환경에서 수락하는 대신 특정 에이전트 소켓을 지정할 수 있습니다. ssh (1) : ssh -W를 사용할 때 ExitOnForwardFailure 및 ClearAllForwardings를 선택적으로 무시할 수 있습니다. bz # 2577ssh (1), sshd (8) : draft-sgtatham-secsh-iutf8-00에 따라 IUTF8 터미널 모드에 대한 지원을 구현합니다. ssh (1), sshd (8) : 초안 -ietf-curdle-ssh-kex-sha2-03에서 추가 고정 Diffie-Hellman 2K, 4K 및 8K 그룹에 대한 지원을 추가합니다.
ssh-keygen (1), ssh (1), sshd (8) : 인증서에서 SHA256 및 SHA512 RSA 서명을 지원합니다. ssh (1) : ssh_config (5) 파일에 대한 Include 지시문을 추가합니다.
ssh (1) : 서버에서 보낸 사전 인증 배너에 UTF-8 문자를 허용합니다. bz # 2058
버그 수정:
ssh (1), sshd (8) : 비교적 일반적인 프로토콜 이벤트의 syslog 수준을 LOG_CRIT에서 줄입니다. bz # 2585
sshd (8) : 구성에서 AuthenticationMethods = ""을 거부하고 다중 인증을 필요로하지 않는 기본 동작에 대해 AuthenticationMethods = any를 허용합니다. bz # 2398
sshd (8) : 쓸모없는 오해의 소지가있는 "가능한 중단 시도"를 제거하십시오. 정방향 및 역방향 DNS가 일치하지 않을 때의 메시지 bz # 2585
ssh (1) : 디버그 모드 나 syslog에 로깅 할 때를 제외하고 ControlPersist 백그라운드 프로세스 표준 오류를 닫습니다. bz # 1988
기타 : direct-streamlocal@openssh.com 채널 열기 메시지에 대한 PROTOCOL 설명을 배포 된 코드와 일치 시키십시오. bz # 2529

ssh (1) : ExitOnForwardFailure와 hostname canonicalisation을 모두 사용할 때 실패를 수정하기 위해 중복 제거 LocalForward 및 RemoteForward 항목. bz # 2562
sshd (8) : moduli에서 fallback을 제거하여 2001 년에 비추천 된 "primes"파일을 삭제합니다. bz # 2559.
sshd_config (5) : UseDNS의 올바른 설명 : known_hosts가 아닌 authorized_keys에 대한 ssh 호스트 이름 처리에 영향을줍니다. bz # 2554 ssh (1) : 파일 시스템에 해당하는 개인 키가없는 에이전트의 유일한 인증 키를 사용하여 인증을 수정합니다. bz # 2550
sshd (8) : 시간 기반 RekeyLimit이 설정되면 ClientAliveInterval ping을 보냅니다. 이전에 keepalive 패킷이 전송되지 않았습니다. bz # 2252

버전 7.2의 새로운 기능 :

보안:
ssh (1), sshd (8) : 미완료 된 사용되지 않는 로밍 코드를 제거합니다 (OpenSSH 7.1p2에서 이미 강제로 비활성화되었습니다).
ssh (1) : X 서버가 SECURITY 확장을 사용할 수 없을 때 신뢰되지 않은 X11 전달에서 신뢰할 수있는 전달으로의 대체를 제거합니다.
ssh (1), sshd (8) : diffie-hellman-group-exchange에 대해 지원되는 최소 모듈러스 크기를 2048 비트로 증가시킵니다.
sshd (8) : pre-auth sandboxing이 기본적으로 활성화되었습니다 (이전 릴리스에서는 sshd_config를 통해 새로운 설치가 가능했습니다).
새로운 기능 :
all : draft-rsa-dsa-sha2-256-03.txt 및 draft-ssh-ext-info-04.txt를 기반으로하는 SHA-256 / 512 해시 알고리즘을 사용하여 RSA 서명에 대한 지원을 추가합니다.
ssh (1) : 'yes', 'no', 'ask'또는 'confirm'으로 설정할 수있는 AddKeysToAgent 클라이언트 옵션을 추가하고 기본값은 'no'입니다. 활성화되면 인증 중에 사용되는 개인 키가 ssh-agent에 추가됩니다 ( 'confirm'으로 설정된 경우 확인이 활성화 됨).sshd (8) : 현재와 미래의 모든 키 제한 (no - * - forwarding 등)을 포함하는 새로운 authorized_keys 옵션 "restrict"를 추가하십시오. 또한 기존 제한 사항의 허용 버전을 추가하십시오 (예 : "no-pty"- & gt; "pty". 이렇게하면 제한된 키를 설정하는 작업이 단순 해지고 향후 구현할 수있는 권한에 관계없이 키가 최대한 제한됩니다. ssh (1) : 명시 적으로 인증서를 나열하는 ssh_config CertificateFile 옵션을 추가하십시오. bz # 2436
ssh-keygen (1) : ssh-keygen이 지원되는 모든 형식의 핵심 주석을 변경할 수있게합니다.
ssh-keygen (1) : 표준 입력에서 지문을 허용합니다. "ssh-keygen -lf -"
ssh-keygen (1) : 파일의 여러 공개 키를 지문 채취 할 수 있습니다. "ssh-keygen -lf ~ / .ssh / authorized_keys"bz # 1319
sshd (8) : sshd_config Foreground 및 ChrootDirectory의 인수로 "none"을 지원합니다. 내부의 유용한 블록을 사용하여 전역 기본값을 재정의합니다. bz # 2486
ssh-keygen (1) : "ssh-keygen -L"ssh-keyscan (1)에 대해 여러 개의 인증서 (한 줄에 하나씩)를 지원하고 표준 입력에서 "-f -"를 사용하여 읽기 : "ssh-keyscan -c ... "플래그를 사용하여 일반 키 대신 인증서를 가져올 수 있습니다.ssh (1) : 호스트 이름 표준화에 고정 된 FQDN (예 : 'cvs.openbsd.org.')을 더 잘 처리합니다. 이미 정규식으로 취급하고 후행 '.'을 제거합니다. ssh_config와 일치하기 전에.
버그 수정:
sftp (1) : 기존 대상 디렉토리가 재귀 업로드를 종료해서는 안됩니다 (openssh 6.8 회귀). bz # 2528
ssh (1), sshd (8) : 키 교환 중에 예상치 못한 메시지에 SSH2_MSG_UNIMPLEMENTED 응답을 올바르게 되돌려 보내십시오. bz # 2949
ssh (1) : ConnectionAttempts = 0을 설정하려는 시도를 거부합니다. 이는 의미가 없으며 ssh가 초기화되지 않은 스택 변수를 인쇄하게 만듭니다. bz # 2500
ssh (1) : 호스트 이름 표준화가 활성화 된 범위의 IPv6 주소에 연결을 시도 할 때 오류를 수정합니다.
sshd_config (5) : Match 블록에서 사용할 수있는 몇 가지 옵션을 추가로 나열하십시오. bz # 2489
sshd (8) : Match 블록 내에서 "PubkeyAcceptedKeyTypes + ..."을 수정하십시오. ssh (1) : ID 파일의 존재 여부를 확인하기 전에 -i 옵션에 전달 된 파일 이름에서 물결표 문자를 확장합니다. 쉘이 확장되지 않는 경우 혼동을 피하십시오 (예 : "-i ~ / file"대 "-i ~ / file"). bz # 2481ssh (1) : 특정 환경에서 일부 명령이 실패 할 수있는 구성 파일의 "Match exec"에 의해 실행되는 쉘 명령에 "exec"를 추가하지 마십시오. bz # 2471
ssh-keyscan (1) : 호스트 해싱 또는 비표준 포트가 사용 중일 때 한 줄에 여러 호스트 / addrs에 대한 출력을 수정합니다. bz # 2479
sshd (8) : ChrootDirectory가 활성화되어있을 때 "홈 디렉토리로 이동할 수 없습니다"라는 메시지를 건너 뜁니다. bz # 2485
ssh (1) : ssh -G config dump에 PubkeyAcceptedKeyTypes를 포함하십시오. sshd (8) : 이미 필요한 경우 TunnelForwarding 장치 플래그를 변경하지 마십시오. 장치 권한 및 인터페이스 플래그가 사전 설정된 경우 루트가 아닌 사용자로 tun / tap 네트워킹을 사용할 수 있습니다.
ssh (1), sshd (8) : RekeyLimits가 하나의 패킷을 초과 할 수 있습니다. bz # 2521
ssh (1) : 멀티플렉싱 마스터 오류로 클라이언트 종료를 감지합니다.
ssh (1), ssh-agent (1) : 비어있는 키 ID를 나타내는 PKCS11 토큰에 치명적인 오류를 피하십시오. bz # 1773
sshd (8) : NULL 인수의 printf를 피하십시오. bz # 2535
ssh (1), sshd (8) : 4GB보다 큰 RekeyLimits 허용. bz # 2521
ssh-keygen (1) : sshd (8) : (사용되지 않은) KRL 서명 지원에서 몇 가지 버그를 수정합니다.ssh (1), sshd (8) : 프로토콜의 키 교환 추측 기능을 사용하는 피어와의 연결을 수정합니다. bz # 2515
sshd (8) : 로그 메시지에 원격 포트 번호를 포함합니다. bz # 2503
ssh (1) : SSHv1 지원없이 컴파일 할 때 SSHv1 개인 키를로드하지 마십시오. bz # 2505
ssh-agent (1), ssh (1) : 키로드 및 서명 오류 중에 잘못된 오류 메시지를 수정합니다. bz # 2507
ssh-keygen (1) : known_hosts가 존재하지 않을 때 known_hosts 파일 편집을 수행 할 때 빈 임시 파일을 남기지 마십시오.
sshd (8) : 포트를 할당하지 않은 요청에 대한 tcpip-forward 응답에 대한 올바른 패킷 형식 bz # 2509
ssh (1), sshd (8) : 닫힌 출력에서 ​​멈춤 현상을 수정합니다. bz # 2469 ssh (1) : ControlPath에서 % i를 UID로 확장하십시오. bz # 2449
ssh (1), sshd (8) : openssh_RSA_verify의 반환 유형을 수정합니다. bz # 2460
ssh (1), sshd (8) : 메모리 누수를 파싱하는 옵션을 수정합니다. bz # 2182
ssh (1) : DNS 해결 전에 디버그 출력을 추가합니다. 응답하지 않는 DNS 서버의 경우에 ssh가 이전에 조용히 멈출 수있는 장소입니다. bz # 2433 ssh (1) : 시각적 호스트 키에서 가짜 줄 바꿈을 제거합니다. bz # 2686
ssh (1) : HostKeyAlgorithms의 인쇄 수정 (ssh -G ...) = + ...
ssh (1) : HostkeyAlgorithms의 확장 수정 = + ...선적 서류 비치:
ssh_config (5), sshd_config (5) : 현재의 현실과 일치하도록 기본 알고리즘 목록을 업데이트합니다. bz # 2527
ssh (1) : -Q key-plain 및 -Q key-cert 쿼리 옵션을 언급합니다. bz # 2455
sshd_config (8) : AuthorizedKeysFile = none을보다 명확하게 설명합니다.
ssh_config (5) : 더 나은 문서 ExitOnForwardFailure. bz # 2444
sshd (5) : 매뉴얼에서 내부 DH-GEX 대체 그룹을 언급하십시오. bz # 2302
sshd_config (5) : MaxSessions 옵션에 대한 설명. bz # 2531
이식성 :
ssh (1), sftp-server (8), ssh-agent (1), sshd (8) : Illumos / Solaris fine-grained 권한을 지원합니다. 사전 인증 privsep 샌드 박스와 여러 가지 서약 () 에뮬레이션을 포함합니다. bz # 2511
더 이상 사용되지 않는 옵션과 구문을 제거하고 redhat / openssh.spec를 개조하십시오.
configure : --without-openssl이있는 --with-ssl-engine을 허용합니다.
sshd (8) : S / Key를 사용하여 다중 인증을 수정합니다. bz # 2502
sshd (8) : 권한을 삭제하기 전에 libcrypto RAND_에서 다시 읽습니다. BoringSSL을 사용하여 샌드 박싱 위반을 방지합니다.
시스템 제공 glob (3) 함수와 이름 충돌을 수정했습니다. bz # 2463
호스트 키를 생성 할 때 ssh-keygen -A를 사용하도록 Makefile을 수정하십시오. bz # 2459configure : --with-ssh1에 대한 올바른 기본값 bz # 2457
configure : _res 기호 bz # 2259의 더 나은 탐지
Linux에서 getrandom ()을 지원합니다.

버전 7.1의 새로운 기능 :

보안:
sshd (8) : OpenSSH 7.0에는 컴파일 타임 설정에 따라 루트 인증을 허용하면서 다른 형태의 인증을 막을 수있는 PermitRootLogin = prohibit-password / without-password에 논리 오류가있었습니다. 이 문제는 Mantas Mikulenas에 의해보고되었습니다.
버그 수정:
ssh (1), sshd (8) : FuTTY에 대한 호환성 문제 해결 방법 추가
ssh (1), sshd (8) : WinSCP의 호환성 문제 해결 방법 수정
ssh (1) 및 ssh-keygen (1)에서 여러 메모리 오류 (double-free, 초기화되지 않은 메모리없는 등)를 수정합니다. Mateusz Kocielski에 의해보고 됨.