OpenSSH 8.0發布了，此版本緩解了scp(1)工具和協議漏洞CVE-2019-6111，該漏洞此前我們之前報導過：知名文件傳輸協議SCP被曝存在35年曆史的安全漏洞。將文件從遠程系統複製到本地目錄時，SCP客戶端無法驗證SCP服務器返回的對像是否與請求的東西一致，這使得攻擊者可以使用惡意服務器控制的內容創建或破壞本地文件。

OpenSSH 8.0的緩解措施添加了客戶端檢查，查看從服務器發送的文件名與命令行請求是否匹配。

SCP 協議已經過時，不靈活且不易修復，OpenSSH 官方建議使用更現代的協議進行文件傳輸，如sftp 和rsync。

此版本新特性包括：

• ssh(1)、ssh-agent(1)、ssh-add(1)：PKCS#11 token 中添加對ECDSA 密鑰的支持。
• ssh(1)、sshd(8)：基於Streamlined NTRU Prime 4591^761 和X25519 的組合，添加實驗性量子計算抗性密鑰交換方法。
• ssh-keygen(1)：將默認RSA 密鑰大小增加到3072 位。
• ssh(1)：允許“PKCS11Provider = none”覆蓋 ssh_config 中PKCS11Provider 指令的後續實例。
• ssh(1)：提示是否錄製新主機密鑰時，輸入密鑰指紋作為“yes”。
• ssh-keygen(1)：在單個命令行調用上簽名多個證書時，允許自動遞增證書序列號。
• scp(1)、sftp(1)：接受-J 選項作為scp 和sftp 命令行上ProxyJump 的別名。
• ssh-agent(1)、ssh-pkcs11-helper(8)、ssh-add(1)：接受“-v”命令行標誌以增加輸出的詳細程度；將詳細標誌傳遞給子進程，例如從ssh- agent 啟動的ssh-pkcs11-helper。
• ssh-add(1)：添加“-T”選項以允許通過執行簽名和驗證來測試代理中的密鑰是否可用。
• sshd(8)：在PAM 環境中暴露$SSH_CONNECTION。

完整更新內容查看更新日誌：

• http://www.openssh.com/txt/release-8.0