## OpenSSH 10.3: Wichtige Sicherheitskorrekturen und neue Funktionen
Am 2. April 2026 wurde OpenSSH 10.3 veröffentlicht – eine stabile Version des SSH-2.0-Clients und -Servers sowie SFTP. Das Update konzentriert sich auf die Behebung von Fehlern und Schwachstellen, die seit Version 10.0 entdeckt wurden. Es umfasst aktualisierte Komponenten, hinzugefügte Patches und neue Konfigurationsoptionen. Die vorherige Version 10.0 führte den Post-Quantum-Algorithmus mlkem768×25_519-sha256 ein und entfernte die Unterstützung für DSA.
Version 10.3 verstärkt den Schutz vor der Ausnutzung von Konfigurationsfehlern und verbessert die Schlüsselführung. Entwickler haben Probleme in ssh, sshd und scp behoben und Unterstützung für IANA-Protokolle sowie Diagnosetools hinzugefügt.
Wichtige Schwachstellenbehebungen
Die wichtigsten Änderungen konzentrieren sich auf die Sicherheit. Hier die Hauptpatches:
- Eine Schwachstelle in ssh behoben, bei der Benutzernameprüfungen mit %u-Ersetzung in Match exec das Ausführen von Shell-Befehlen erlaubten. Die Validierung spezieller Zeichen erfolgt nun vor den Ersetzungen in ssh_config.
- In sshd die Abstimmung von authorized_keys principals="" mit Namen in Zertifikaten, die Kommas enthalten, behoben. Zertifikate mit leeren Namen passen nicht mehr zu solchen Optionen.
- In scp, mit -O ohne -p für root-besessene Dateien, werden setuid/setgid-Flags nach dem Laden gelöscht.
- In sshd die ECDSA-Behandlung in PubkeyAcceptedAlgorithms und HostbasedAcceptedAlgorithms behoben: Nun werden nur explizit angegebene Algorithmen akzeptiert.
Diese Korrekturen verhindern Privilegieneskalation und unbefugten Zugriff über Konfigurationen.
Verbesserungen beim SSH-Agent und Protokoll
Hinzugefügte Kompatibilität mit draft-ietf-sshm-ssh-agent:
- Unterstützung für IANA-Codepoint in ssh und sshd beim Interagieren mit Agents (@openssh.com beibehalten).
- 'query'-Erweiterung in ssh-agent zur Überprüfung unterstützter Features. Die Option ssh-add -Q fordert die Liste der Erweiterungen an.
- Die RevokedKeys-Richtlinie in sshd_config und RevokedHostKeys in ssh_config akzeptieren nun mehrere Dateien.
ssh fügt den Escape-Befehl ~I sowie die Optionen -O conninfo (Verbindungsinfo), -O channels (offene Kanäle) hinzu.
Neue sshd-Konfigurationsoptionen
Die Möglichkeiten von sshd_config wurden erweitert:
- PerSourcePenalties mit 'invaliduser' für Verzögerungen (Standard 5s) bei Anmeldungen mit nicht existierenden Benutzern. Unterstützt Bruchwerte.
- GSSAPIDelegateCredentials zur Steuerung delegierter Anmeldeinformationen vom Client.
ssh-keygen unterstützt nun das Schreiben von ED25519-Schlüsseln im PKCS8-Format. Hinzugefügte Unterstützung für ed25519-Signaturen über libcrypto.
Diese Änderungen vereinfachen die Administration und Überwachung in Produktionsumgebungen.
Wichtige Punkte
- Kritische Patches für %u in ssh_config und principals in authorized_keys minimieren Ausnutzungsrisiken.
- Neue IANA-Unterstützung in Agents gewährleistet Kompatibilität mit aufkommenden Standards.
- Diagnoseoptionen (-O conninfo, -Q) beschleunigen das Debuggen von Verbindungen.
- sshd_config-Erweiterungen (RevokedKeys, PerSourcePenalties) bieten granuliertere Zugriffskontrolle.
- PKCS8-Format für ED25519 vereinfacht die Integration in moderne Krypto-Bibliotheken.
Der Umfang dieser Updates macht OpenSSH 10.3 zu einem Muss-Update für Enterprise-Server und -Clients. Vor der Bereitstellung in Staging testen.
— Editorial Team
Noch keine Kommentare.