URL: https://linuxfr.org/news/openssh-7-9 Title: OpenSSH 7.9 Authors: Nils Ratusznik Davy Defaud, palm123, theojouedubanjo et Benoît Sibaud Date: 2018年10月22日T13:19:05+02:00 License: CC By-SA Tags: openssh, openbsd, ssh et seccomp Score: 62 OpenSSH 7.9 est disponible depuis le 19 octobre 2018. Ce projet, démarré par des développeurs d’OpenBSD, vise à proposer une alternative libre, sécurisée et moderne à des logiciels d’administration distante comme _telnet_ et _rlogin_. Le but est d’ailleurs atteint, puisque ces deux derniers logiciels ont été relégués au rang d’antiquités depuis bien des années maintenant.  Vous trouverez en deuxième partie de cet article une sélection des changements apportés, reprenant grandement les notes de version. ---- [OpenSSH](https://www.openssh.com/) [Notes de version7.9 (texte)](https://www.openssh.com/txt/release-7.9) [Notes de version (historique jusqu’à la version 1.2.2p1)](https://www.openssh.com/releasenotes.html) [OpenBSD](https://www.openbsd.org/) ---- Changements pouvant casser la compatibilité ascendante ====================================================== Comme à chaque début de notes de version, les développeurs mettent en garde les utilisateurs à propos de changements qui pourraient poser problème sur des configurations existantes. Pour cette version, deux changements sont à surveiller de près : - l’utilisation de la nouvelle option `CASignatureAlgorithms` empêche l’utilisation des clefs DSA comme autorité de certification ; - dans _sshd_, le format du message de journal indiquant un succès ou un échec d’authentification a légèrement changé, incluant dorénavant l’empreinte du certificat (jusqu’alors il n’indiquait que l’identifiant de la clef et l’empreinte de la clef de l’autorité de certification). Changements depuis OpenSSH 7.8 ============================== Nouvelles fonctionnalités ------------------------- Parmi les nouveautés d’OpenSSH 7.9, on peut trouver : * _ssh_ et _sshd_ permettent maintenant de spécifier la plupart des ports en utilisant des noms de services, en utilisant les dénominations trouvables dans `/etc/services` (smtp au lieu de 25...) ; * dans _ssh_, il est dorénavant possible d’ajouter des directives de configuration `IdentityAgent` via des variables d’environnement, ce qui permet l’utilisation de multiples _sockets_ d’agent sans utiliser des chemins en dur ; * _ssh_ et _ssh-keygen_ autorisent les listes de révocation de clefs (_key revocation list_, ou KRL) à spécifier des sommes de contrôles [[SHA-256]] plutôt que les clefs publiques elles‐mêmes ; * d’ailleurs, dans la même thématique, _ssh-keygen_ autorise la création de listes de révocation de clefs depuis une version encodée en [[base64]] de l’empreinte SHA-256 desdites clefs ; en gros, l’idée est de pouvoir révoquer facilement une clef depuis l’information présente dans les journaux d’authentification de _sshd_. Corrections de bogues --------------------- Cette nouvelle version apporte entre autres les corrections suivantes : * _ssh_ et _ssh-keygen_ évitent maintenant l’erreur « _invalid format_ » quand ils tentent de charger une clef privée alors que la phrase de passe est incorrecte ([bogue n^(o) 2901](https://bugzilla.mindrot.org/show_bug.cgi?id=2901)) ; * dans _ssh_, il est possible d’utiliser `ForwardX11Timeout=0` pour désactiver le délai de grâce d’un _forward_ X11 et pouvoir donc le faire indéfiniment ; * _ssh_ va maintenant traiter les connexions _ProxyJump_ de la même manière que les connexions _ProxyCommand_, par rapport la canonicalisation du nom d’hôte (ce qui veut dire que la canonicalisation ne sera pas effectuée, sauf si _CanonicalizeHostname_ est paramétré à « _always_ ») ([bogue n^(o) 2896](https://bugzilla.mindrot.org/show_bug.cgi?id=2896)) ; * une régression introduite dans OpenSSH 7.8 au niveau de _ssh_ a été corrigée, elle empêchait l’authentification par clef publique utilisant un certificat situé dans _ssh-agent_ ou _sshd_ de fonctionner sur une version d’OpenSSH inférieure à 7.8. Portabilité ----------- Il existe deux versions d’OpenSSH : une dédiée à OpenBSD et une deuxième contenant des correctifs de compatibilité pour les autres systèmes d’exploitation, appelée version [portable](https://www.openssh.com/portable.html). Ces changements sont donc spécifiques à la version portable : * il est maintenant possible de compiler cette version d’OpenSSH en utilisant l’API openssl-1.1 (pour OpenSSL 1.1.0g et supérieur), l’API openssl-1.0 reste utilisable tant que l’équipe d’OpenSSL fournit des correctifs de sécurité pour cette version ; * l’appel système `futex(2)`, situé dans le bac à sable _seccomp_ de Linux est autorisé, car cela semble requis par certaines combinaisons glibc/OpenSSL ; * la fonction `getgrouplist(3)` avait une limite de nombre de groupes définie par une constante `_SC_NGROUPS_MAX`, ce n’est plus le cas maintenant ; certaines plates‐formes considéraient cette limite plutôt comme une recommandation.