OpenSSH 10.3: klíčové bezpečnostní opravy a nové funkce
- dubna 2026 vyšla verze OpenSSH 10.3 — stabilní vydání klienta a serveru SSH 2.0 a SFTP. Aktualizace je zaměřena na odstranění chyb a zranitelností odhalených po verzi 10.0. V ní byly aktualizovány komponenty, přidány záplaty a nové možnosti konfigurace. Předchozí vydání 10.0 představilo postkvantový algoritmus mlkem768×25_519-sha256 a odstranilo podporu DSA.
Verze 10.3 posiluje ochranu proti zneužití chyb konfigurace a zlepšuje zpracování klíčů. Vývojáři odstranili problémy v ssh, sshd a scp, přidali podporu protokolů IANA a diagnostických nástrojů.
Opravy kritických zranitelností
Hlavní změny se týkají bezpečnosti. Zde jsou klíčové záplaty:
- Odstraněna zranitelnost v ssh, kde kontrola jména uživatele s %u-podstavkou v Match exec umožňovala spouštění shell-příkazů. Kontrola speciálních znaků nyní probíhá před podstavkami v ssh_config.
- V sshd opraveno mapování authorized_keys principals="" s jmény v certifikátech obsahujícími čárky. Certifikáty s prázdnými jmény už nespadají pod tyto možnosti.
- V scp při volbě -O bez -p pro root-soubory se po načtení mažou setuid/setgid příznaky.
- V sshd opraveno zpracování ECDSA v PubkeyAcceptedAlgorithms a HostbasedAcceptedAlgorithms: nyní jsou přijímány pouze explicitně uvedené algoritmy.
Tyto opravy zabraňují eskalaci privilegií a neoprávněnému přístupu přes konfiguraci.
Vylepšení SSH agentů a protokolů
Přidána kompatibilita s draft-ietf-sshm-ssh-agent:
- Podpora IANA codepoint v ssh a sshd při interakci s agenty (@openssh.com zachováno).
- Rozšíření 'query' v ssh-agent pro kontrolu podporovaných funkcí. Volba ssh-add -Q požaduje seznam rozšíření.
- Direktiva RevokedKeys v sshd_config a RevokedHostKeys v ssh_config nyní přijímá více souborů.
V ssh přidány escape-příkaz ~I a volby -O conninfo (informace o spojení), -O channels (otevřené kanály).
Nové možnosti konfigurace sshd
Rozšířeny možnosti sshd_config:
- PerSourcePenalties s 'invaliduser' pro zpoždění (výchozí 5 s) při přihlášení pod neexistujícím uživatelem. Podpora desetinných hodnot.
- GSSAPIDelegateCredentials pro ovládání delegovaných přihlašovacích údajů od klienta.
V ssh-keygen přidáno ukládání ED25519-klíčů do PKCS8. Podpora ed25519-podpisů přes libcrypto.
Tyto změny usnadňují správu a monitorování v produkčních prostředích.
Co je důležité
- Kritické záplaty pro %u v ssh_config a principals v authorized_keys minimalizují rizika zneužití.
- Nová podpora IANA v agentech zajišťuje kompatibilitu s nově vznikajícími standardy.
- Diagnostické volby (-O conninfo, -Q) urychlují ladění spojení.
- Rozšíření sshd_config (RevokedKeys, PerSourcePenalties) zvyšují detailní ovládání přístupu.
- Formát PKCS8 pro ED25519 usnadňuje integraci s moderními crypto-knihovnami.
Celkový rozsah aktualizací činí OpenSSH 10.3 povinnou aktualizací pro servery a klienty v podnikovém prostředí. Testujte v testovacím prostředí před nasazením.
— Editorial Team
Zatím žádné komentáře.