Zpět na domů

OpenSSH 10.3: bezpečnostní záplaty a novinky

OpenSSH 10.3 se zaměřuje na záplaty zranitelností v ssh a sshd, včetně %u substitucí a authorized_keys. Přidána podpora IANA v agentech, nové možnosti konfigurace a PKCS8 pro ED25519. Vydání posiluje ochranu production systémů.

OpenSSH 10.3 vyšel: opravy zranitelností a SSH agenti
Advertisement 728x90

OpenSSH 10.3: klíčové bezpečnostní opravy a nové funkce

  • dubna 2026 vyšla verze OpenSSH 10.3 — stabilní vydání klienta a serveru SSH 2.0 a SFTP. Aktualizace je zaměřena na odstranění chyb a zranitelností odhalených po verzi 10.0. V ní byly aktualizovány komponenty, přidány záplaty a nové možnosti konfigurace. Předchozí vydání 10.0 představilo postkvantový algoritmus mlkem768×25_519-sha256 a odstranilo podporu DSA.

Verze 10.3 posiluje ochranu proti zneužití chyb konfigurace a zlepšuje zpracování klíčů. Vývojáři odstranili problémy v ssh, sshd a scp, přidali podporu protokolů IANA a diagnostických nástrojů.

Opravy kritických zranitelností

Hlavní změny se týkají bezpečnosti. Zde jsou klíčové záplaty:

  • Odstraněna zranitelnost v ssh, kde kontrola jména uživatele s %u-podstavkou v Match exec umožňovala spouštění shell-příkazů. Kontrola speciálních znaků nyní probíhá před podstavkami v ssh_config.
  • V sshd opraveno mapování authorized_keys principals="" s jmény v certifikátech obsahujícími čárky. Certifikáty s prázdnými jmény už nespadají pod tyto možnosti.
  • V scp při volbě -O bez -p pro root-soubory se po načtení mažou setuid/setgid příznaky.
  • V sshd opraveno zpracování ECDSA v PubkeyAcceptedAlgorithms a HostbasedAcceptedAlgorithms: nyní jsou přijímány pouze explicitně uvedené algoritmy.

Tyto opravy zabraňují eskalaci privilegií a neoprávněnému přístupu přes konfiguraci.

Google AdInline article slot

Vylepšení SSH agentů a protokolů

Přidána kompatibilita s draft-ietf-sshm-ssh-agent:

  • Podpora IANA codepoint v ssh a sshd při interakci s agenty (@openssh.com zachováno).
  • Rozšíření 'query' v ssh-agent pro kontrolu podporovaných funkcí. Volba ssh-add -Q požaduje seznam rozšíření.
  • Direktiva RevokedKeys v sshd_config a RevokedHostKeys v ssh_config nyní přijímá více souborů.

V ssh přidány escape-příkaz ~I a volby -O conninfo (informace o spojení), -O channels (otevřené kanály).

Nové možnosti konfigurace sshd

Rozšířeny možnosti sshd_config:

Google AdInline article slot
  • PerSourcePenalties s 'invaliduser' pro zpoždění (výchozí 5 s) při přihlášení pod neexistujícím uživatelem. Podpora desetinných hodnot.
  • GSSAPIDelegateCredentials pro ovládání delegovaných přihlašovacích údajů od klienta.

V ssh-keygen přidáno ukládání ED25519-klíčů do PKCS8. Podpora ed25519-podpisů přes libcrypto.

Tyto změny usnadňují správu a monitorování v produkčních prostředích.

Co je důležité

  • Kritické záplaty pro %u v ssh_config a principals v authorized_keys minimalizují rizika zneužití.
  • Nová podpora IANA v agentech zajišťuje kompatibilitu s nově vznikajícími standardy.
  • Diagnostické volby (-O conninfo, -Q) urychlují ladění spojení.
  • Rozšíření sshd_config (RevokedKeys, PerSourcePenalties) zvyšují detailní ovládání přístupu.
  • Formát PKCS8 pro ED25519 usnadňuje integraci s moderními crypto-knihovnami.

Celkový rozsah aktualizací činí OpenSSH 10.3 povinnou aktualizací pro servery a klienty v podnikovém prostředí. Testujte v testovacím prostředí před nasazením.

Google AdInline article slot

— Editorial Team

Advertisement 728x90

Číst dál