今日，OpenBSD社區發布了OpenSSH最新版本8.6。OpenSSH是100%完整的SSH協議2.0實現，也是目前運行最廣泛的服務器端和客戶端，是GNU/Linux默認安裝和啟用的服務，其組件中也包括了，更加安全的加密的sftp客戶端和服務器。

目前情況下，對SHA-1算法的碰撞攻擊的成本已經低于5萬美元（約合人民币32萬五）。

在SSH協議中，“ssh-RSA”簽名方案使用SHA-1哈希算法與RSA公鑰算法結合使用。 在OpenSSH 8.6中将會禁用該組合算法的簽名方案，使用該組合簽名方案的證書和客戶端将不能認證通過。在SSH協議中，密鑰支持多種算法進行簽名。其中“ssh-rsa”密鑰可以使用“rsa-sha2-256”（RSA/SHA256）進行簽名。更好可選方案包括：

RFC8332 RSA SHA-2簽名算法rsa-sha2-256/512。該算法的優點是使用與 “ssh-rsa”完全一緻，但使用安全的SHA-2哈希算法。rsa-sha2-256/512算法已經自OpenSSH 7.2開始支持，默認支持。

RFC8709 ssh-ed25519簽名算法也已經被支持，自OpenSSH 6.5版本開始在中使用。

RFC5656 ECDSA算法：ecdsa-sha2-nistp256/384/521。自OpenSSH 5.x版本被支持。

可以用一下命令行手動檢查服務器是否使用弱ssh-rsa公鑰算法：

ssh -oHostKeyAlgorithms=-ssh-rsa user@host

如果主機密鑰驗證失敗，并且沒有其他受支持的主機密鑰類型可用，則該主機上的服務器軟件應為升級。

OpenSSH最新版本中已經默認啟用了UpdateHostKeys選項，幫助自動遷移到更好的算法實現用戶登陸。

OpenSSH 8.5引入了LogVerbose關鍵字。用于日志記錄的一組模式，啟用了該選項後将實現在低特權沙盒sshd進程中運行的代碼，日志消息可以利用printf格式字符串構造指定為低特權代碼。成功利用低特權的攻擊進程可以用來逃避OpenSSH的沙箱，提權到高特權進程。

注意：該漏洞利用，在實踐中是極不可能，因為LogVerbose選項默認情況不會啟動，隻在調試過程中使用。

sftp-server：添加新的limits@openssh-com協議擴展允許客戶端發現各種服務器限制，包括最大數據包大小和最大讀取/寫入長度。

sftp：使用新的limits@openssh-com擴展名在客戶端中選擇更好的傳輸長度。

sshd：在sshd_config中添加ModuliFile關鍵字以指定包含DH-GEX組的moduli文件的位置。

單元測試：添加了TEST_SSH_ELAPSED_TIMES環境變量，可以用于在測試信息中打印每次測試的經過時間（以秒為單位）。

*ssh_config：同步中的CASignatureAlgorithms列表當前默認的手冊頁。

ssh：确保退出前調用pkcs11_del_provider（）。

ssh，sshd：修複了字符串->argv轉換中的問題。多反斜杠未正确引用，導緻引号中的空格字符串的中間被錯誤地分割了的問題。

ssh：被信号殺死時返回非零退出狀态；

sftp-server：增加變量SSH2_FXP_READ以匹配最大數目數據包大小。還可以處理未明确顯示的零長度讀取 規格禁止。

sshd：讀取網絡套接字（例如EINTR，EAGAIN）錯誤時，錯誤退出的問題。

創建專用的contrib/gnome-ssk-askpass3.c源，不使用與GNOME2相同的文件來構建。使GNOME3 gdk_seat_grab()可以更好地管理鍵盤/鼠标/服務器抓取與Wayland的兼容性。

修複可移植性其他構建錯誤（bz3293 bz3292 bz3291 bz3278）。

sshd：軟禁止Linux中的fstatat64 syscall seccomp-bpf沙箱。

下載安裝時候請對下載文件校對官方哈希碼以保證下載包的安全性和完整性。

openssh-8.6.tar.gz（适用于BSD） ：

SHA1 a3e93347eed6296faaaceb221e8786391530fccb

SHA256 ihmgdEgKfCBRpC0qzdQRwYownrpBf rsihvk4Rmim8M=

openssh-8.6p1.tar.gz（适用于Linxu）

SHA1 8f9f0c94317baeb97747d6258f3997b4542762c0

SHA256 w bk2hYhdiyFDQO0fu0eSN/0zJYI3etUcgKiNN O164=

注意，SHA256簽名是base64編碼的，而不是默認十六進制（這是大多數校驗和工具的默認設置）。

PGP校驗：請從官方網站/pub/OpenBSD/OpenSSH/RELEASE_KEY.asc 在線校驗。