URL: https://linuxfr.org/news/openssh-7-9 Title: OpenSSH 7.9 Authors: Nils Ratusznik Davy Defaud, palm123, theojouedubanjo et Benoît Sibaud Date: 2018年10月22日T13:19:05+02:00 License: CC By-SA Tags: openssh, openbsd, ssh et seccomp Score: 62 OpenSSH 7.9 est disponible depuis le 19 octobre 2018. Ce projet, démarré par des développeurs d’OpenBSD, vise à proposer une alternative libre, sécurisée et moderne à des logiciels d’administration distante comme _telnet_ et _rlogin_. Le but est d’ailleurs atteint, puisque ces deux derniers logiciels ont été relégués au rang d’antiquités depuis bien des années maintenant. ![Logo d’OpenSSH](https://www.openssh.com/images/openssh.gif) Vous trouverez en deuxième partie de cet article une sélection des changements apportés, reprenant grandement les notes de version. ---- [OpenSSH](https://www.openssh.com/) [Notes de version7.9 (texte)](https://www.openssh.com/txt/release-7.9) [Notes de version (historique jusqu’à la version 1.2.2p1)](https://www.openssh.com/releasenotes.html) [OpenBSD](https://www.openbsd.org/) ---- Changements pouvant casser la compatibilité ascendante ====================================================== Comme à chaque début de notes de version, les développeurs mettent en garde les utilisateurs à propos de changements qui pourraient poser problème sur des configurations existantes. Pour cette version, deux changements sont à surveiller de près : - l’utilisation de la nouvelle option `CASignatureAlgorithms` empêche l’utilisation des clefs DSA comme autorité de certification ; - dans _sshd_, le format du message de journal indiquant un succès ou un échec d’authentification a légèrement changé, incluant dorénavant l’empreinte du certificat (jusqu’alors il n’indiquait que l’identifiant de la clef et l’empreinte de la clef de l’autorité de certification). Changements depuis OpenSSH 7.8 ============================== Nouvelles fonctionnalités ------------------------- Parmi les nouveautés d’OpenSSH 7.9, on peut trouver : * _ssh_ et _sshd_ permettent maintenant de spécifier la plupart des ports en utilisant des noms de services, en utilisant les dénominations trouvables dans `/etc/services` (smtp au lieu de 25...) ; * dans _ssh_, il est dorénavant possible d’ajouter des directives de configuration `IdentityAgent` via des variables d’environnement, ce qui permet l’utilisation de multiples _sockets_ d’agent sans utiliser des chemins en dur ; * _ssh_ et _ssh-keygen_ autorisent les listes de révocation de clefs (_key revocation list_, ou KRL) à spécifier des sommes de contrôles [[SHA-256]] plutôt que les clefs publiques elles‐mêmes ; * d’ailleurs, dans la même thématique, _ssh-keygen_ autorise la création de listes de révocation de clefs depuis une version encodée en [[base64]] de l’empreinte SHA-256 desdites clefs ; en gros, l’idée est de pouvoir révoquer facilement une clef depuis l’information présente dans les journaux d’authentification de _sshd_. Corrections de bogues --------------------- Cette nouvelle version apporte entre autres les corrections suivantes : * _ssh_ et _ssh-keygen_ évitent maintenant l’erreur « _invalid format_ » quand ils tentent de charger une clef privée alors que la phrase de passe est incorrecte ([bogue n^(o) 2901](https://bugzilla.mindrot.org/show_bug.cgi?id=2901)) ; * dans _ssh_, il est possible d’utiliser `ForwardX11Timeout=0` pour désactiver le délai de grâce d’un _forward_ X11 et pouvoir donc le faire indéfiniment ; * _ssh_ va maintenant traiter les connexions _ProxyJump_ de la même manière que les connexions _ProxyCommand_, par rapport la canonicalisation du nom d’hôte (ce qui veut dire que la canonicalisation ne sera pas effectuée, sauf si _CanonicalizeHostname_ est paramétré à « _always_ ») ([bogue n^(o) 2896](https://bugzilla.mindrot.org/show_bug.cgi?id=2896)) ; * une régression introduite dans OpenSSH 7.8 au niveau de _ssh_ a été corrigée, elle empêchait l’authentification par clef publique utilisant un certificat situé dans _ssh-agent_ ou _sshd_ de fonctionner sur une version d’OpenSSH inférieure à 7.8. Portabilité ----------- Il existe deux versions d’OpenSSH : une dédiée à OpenBSD et une deuxième contenant des correctifs de compatibilité pour les autres systèmes d’exploitation, appelée version [portable](https://www.openssh.com/portable.html). Ces changements sont donc spécifiques à la version portable : * il est maintenant possible de compiler cette version d’OpenSSH en utilisant l’API openssl-1.1 (pour OpenSSL 1.1.0g et supérieur), l’API openssl-1.0 reste utilisable tant que l’équipe d’OpenSSL fournit des correctifs de sécurité pour cette version ; * l’appel système `futex(2)`, situé dans le bac à sable _seccomp_ de Linux est autorisé, car cela semble requis par certaines combinaisons glibc/OpenSSL ; * la fonction `getgrouplist(3)` avait une limite de nombre de groupes définie par une constante `_SC_NGROUPS_MAX`, ce n’est plus le cas maintenant ; certaines plates‐formes considéraient cette limite plutôt comme une recommandation.

AltStyle によって変換されたページ (->オリジナル) /