]> git.ipfire.org Git - ipfire-2.x.git/commit
projects / ipfire-2.x.git / commit
? search:
summary | shortlog | log | commit | commitdiff | tree
(parent: 716b8fb) | patch
openssh: Update to version 9.7p1
authorAdolf Belka <adolf.belka@ipfire.org>
Tue, 12 Mar 2024 08:55:14 +0000 (09:55 +0100)
committerMichael Tremer <michael.tremer@ipfire.org>
Tue, 12 Mar 2024 09:31:08 +0000 (09:31 +0000)
commit721c70139b1680cdeb9afa2b180a8cbad77df5a7
tree0dc300c6d82ab938b778e8489dc5da3226b6ffe1tree | snapshot
parent716b8fb503b5c02ac921cd843f8c646892c4cf55commit | diff
openssh: Update to version 9.7p1

- Update from version 9.6p1 to 9.7p1
- Update of rootfile not required
- Changelog
    9.7p1
Future deprecation notice
OpenSSH plans to remove support for the DSA signature algorithm in
 early 2025 and compile-time disable it later this year.
DSA, as specified in the SSHv2 protocol, is inherently weak - being
 limited to a 160 bit private key and use of the SHA1 digest. Its
 estimated security level is only 80 bits symmetric equivalent.
OpenSSH has disabled DSA keys by default since 2015 but has retained
 run-time optional support for them. DSA was the only mandatory-to-
 implement algorithm in the SSHv2 RFCs[3], mostly because alternative
 algorithms were encumbered by patents when the SSHv2 protocol was
 specified.
This has not been the case for decades at this point and better
 algorithms are well supported by all actively-maintained SSH
 implementations. We do not consider the costs of maintaining DSA in
 OpenSSH to be justified and hope that removing it from OpenSSH can
 accelerate its wider deprecation in supporting cryptography
 libraries.
This release makes DSA support in OpenSSH compile-time optional,
 defaulting to on. We intend the next release to change the default
 to disable DSA at compile time. The first OpenSSH release of 2025
 will remove DSA support entirely.
This release contains mostly bugfixes.
New features
 * ssh(1), sshd(8): add a "global" ChannelTimeout type that watches
    all open channels and will close all open channels if there is no
    traffic on any of them for the specified interval. This is in
    addition to the existing per-channel timeouts added recently.
   This supports situations like having both session and x11
    forwarding channels open where one may be idle for an extended
    period but the other is actively used. The global timeout could
    close both channels when both have been idle for too long.
 * All: make DSA key support compile-time optional, defaulting to on.
Bugfixes
 * sshd(8): don't append an unnecessary space to the end of subsystem
   arguments (bz3667)
 * ssh(1): fix the multiplexing "channel proxy" mode, broken when
   keystroke timing obfuscation was added. (GHPR#463)
 * ssh(1), sshd(8): fix spurious configuration parsing errors when
   options that accept array arguments are overridden (bz3657).
 * ssh-agent(1): fix potential spin in signal handler (bz3670)
 * Many fixes to manual pages and other documentation, including
   GHPR#462, GHPR#454, GHPR#442 and GHPR#441.
 * Greatly improve interop testing against PuTTY.
Portability
 * Improve the error message when the autoconf OpenSSL header check
   fails (bz#3668)
 * Improve detection of broken toolchain -fzero-call-used-regs support
   (bz3645).
 * Fix regress/misc/fuzz-harness fuzzers and make them compile without
   warnings when using clang16

Signed-off-by: Adolf Belka <adolf.belka@ipfire.org>
Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
lfs/openssh diff | blob | blame | history
IPFire 2.x development tree