OpenSSH 8.8 / 8.8p1

OpenSSH 8.8 / 8.8p1 (2021-09-26)

OpenSSH 8.8 于 2021-09-26 发布。它可以从https://www.openssh.com/ 列出的镜像。 OpenSSH 是 100% 完整的 SSH 协议 2.0 实现，并且 包括 sftp 客户端和服务器支持。
再次感谢 OpenSSH 社区 继续支持该项目，特别是那些做出贡献的人 代码或补丁、报告的错误、测试过的快照或捐赠给 项目。有关捐赠的更多信息，请访问：
https://www.openssh.com/donations.html
未来的弃用通知 ==========================
近期的 OpenSSH 版本将scp(1)从使用 旧的 scp/rcp 协议默认使用 SFTP。
Legacy scp/rcp 执行远程文件名的通配符扩展（例如 "scp host:* .") 通过远程 shell。这有副作用 要求在文件名中使用双引号的 shell 元字符 包含在scp(1)命令行中，否则它们可以被解释 作为远程端的shell命令。
这会产生一个潜在的不兼容区域：使用scp(1)时 SFTP 协议不再需要这种挑剔而脆弱的引用， 并尝试使用它可能会导致传输失败。我们认为 无需在文件名中使用双引号 shell 字符 是一个好处，不打算引入错误兼容性使用 SFTP 协议时scp(1) 中的旧 scp/rcp 。
另一个潜在的不兼容领域与使用远程 相对于其他用户主目录的路径，例如 - “scp 主机：~用户/文件 /tmp”。SFTP 协议没有本地方式 展开 ~user 路径。但是，OpenSSH 8.7 及更高版本中的sftp-server(8) 支持协议扩展“[email protected]”来支持 这个。
安全 ========

从 OpenSSH 6.2 到 8.7 的sshd(8)无法正确初始化 执行 AuthorizedKeysCommand 时的补充组或 AuthorizedPrincipalsCommand，其中 AuthorizedKeysCommandUser 或 AuthorizedPrincipalsCommandUser 指令已设置为运行 命令作为不同的用户。相反，这些命令将继承开始使用sshd(8) 的组。
根据系统配置，继承的组可能允许 AuthorizedKeysCommand/AuthorizedPrincipalsCommand 帮助程序 获得意想不到的特权。
AuthorizedKeysCommand 和 AuthorizedPrincipalsCommand 都不是在sshd_config(5) 中默认启用。
可能不兼容的更改 =================================
此版本使用 SHA-1 哈希算法禁用 RSA 签名 默认。此更改已进行，因为 SHA-1 哈希算法是 密码被破坏，并且可以创建选择的前缀 对于大多数用户来说，这种变化应该是不可见的，并且有 无需更换 ssh-rsa 密钥。OpenSSH 已支持RFC8332 自 7.2 版以来的 RSA/SHA-256/512 签名和现有的 ssh-rsa 密钥 将在可能的情况下自动使用更强的算法。
连接到较旧的 SSH 时更可能出现不兼容 尚未升级或未密切跟踪的实施 SSH 协议的改进。对于这些情况，可能需要 选择性地重新启用 RSA/SHA1 以允许连接和/或用户 通过 HostkeyAlgorithms 和 PubkeyAcceptedAlgorithms 进行身份验证 选项。例如， ~/.ssh/config 中的以下节将启用 RSA/SHA1 用于单个目标主机的主机和用户身份验证：
主机老主机 主机密钥算法 +ssh-rsa PubkeyAcceptedAlgorithms +ssh-rsa
我们建议仅启用 RSA/SHA1 作为权宜之计，直到旧版 可以使用其他密钥类型升级或重新配置实现 （例如 ECDSA 或 Ed25519）。
[1] "SHA-1 is a Shambles: First Chosen-Prefix Collision on SHA-1 and 应用到 PGP 信任网络" Leurent, G 和 Peyrin, T (2020) https://eprint.iacr.org/2020/014.pdf
自 OpenSSH 8.7 以来的变化 ==========================
此版本的主要动机是上述弃用和 安全修复。
新的功能 ------------ * ssh(1) : 允许ssh_config(5) CanonicalizePermittedCNAMEs 指令接受“无”参数来指定默认值 行为。
Bug修复 --------

• scp(1) : 当使用 SFTP 协议时，继续传输文件 发生传输错误后，更好地匹配原始 scp/rcp 行为。
  • ssh(1) : 修复了多路复用中的一些内存泄漏，
• ssh-keygen(1) : 使用 -Y find-principals 时避免崩溃 命令。
• 一些文档和手册的改进，包括
  bz#3340 , PR139 , PR215 , PR241 , PR257
  可移植性 ------------
• ssh-agent(1) : 在 FreeBSD 上，使用 procctl 禁用 ptrace(2)
• ssh(1) / sshd(8) : 对 pselect(2) 替换的一些修复 兼容性代码。bz#3345
  校验和： ==========

• SHA1 ( openssh-8.8.tar.gz ) = 732947082a8998047e839cc0b4c066bf0a7e1a5b - SHA256 ( openssh-8.8.tar.gz ) = AngyrPSQH255hnzU1l7y+LlVAUNcGWtuYQIFEl22nRo=
• SHA1 ( openssh-8.8p1.tar.gz ) = 1eb964897a4372f6fb96c7effeb509ec71c379c9 - SHA256 ( openssh-8.8p1.tar.gz ) = RZCJDqm7ms5Pca4zF4WjpYIyMkNRYZYO1fyGWI8zH+k=
  请注意，SHA256 签名是 base64 编码的，而不是 十六进制（这是大多数校验和工具的默认值）。PGP 用于签署版本的密钥可从镜像站点获得：
  https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/RELEASE_KEY.asc
  请注意，用于签署版本的 OpenPGP 密钥已被 为此版本旋转。新密钥已由前一个签名 提供连续性的关键。
  报告错误： ================
• 请阅读https://www.openssh.com/report.html 安全漏洞应直接报告至 [email protected]