Zurück zur Startseite

OpenSSH 10.3: Sicherheits-Patches und neue Features

OpenSSH 10.3 konzentriert sich auf Schwachstellen-Patches in ssh und sshd, einschließlich %u-Substitutionen und authorized_keys. Hinzugefügt: IANA-Unterstützung in Agents, neue Konfigurationsoptionen und PKCS8 für ED25519. Die Veröffentlichung verbessert den Schutz für Produktionssysteme.

OpenSSH 10.3 veröffentlicht: Schwachstellenbehebungen und SSH-Agents
Advertisement 728x90

## OpenSSH 10.3: Wichtige Sicherheitskorrekturen und neue Funktionen

Am 2. April 2026 wurde OpenSSH 10.3 veröffentlicht – eine stabile Version des SSH-2.0-Clients und -Servers sowie SFTP. Das Update konzentriert sich auf die Behebung von Fehlern und Schwachstellen, die seit Version 10.0 entdeckt wurden. Es umfasst aktualisierte Komponenten, hinzugefügte Patches und neue Konfigurationsoptionen. Die vorherige Version 10.0 führte den Post-Quantum-Algorithmus mlkem768×25_519-sha256 ein und entfernte die Unterstützung für DSA.

Version 10.3 verstärkt den Schutz vor der Ausnutzung von Konfigurationsfehlern und verbessert die Schlüsselführung. Entwickler haben Probleme in ssh, sshd und scp behoben und Unterstützung für IANA-Protokolle sowie Diagnosetools hinzugefügt.

Wichtige Schwachstellenbehebungen

Die wichtigsten Änderungen konzentrieren sich auf die Sicherheit. Hier die Hauptpatches:

Google AdInline article slot
  • Eine Schwachstelle in ssh behoben, bei der Benutzernameprüfungen mit %u-Ersetzung in Match exec das Ausführen von Shell-Befehlen erlaubten. Die Validierung spezieller Zeichen erfolgt nun vor den Ersetzungen in ssh_config.
  • In sshd die Abstimmung von authorized_keys principals="" mit Namen in Zertifikaten, die Kommas enthalten, behoben. Zertifikate mit leeren Namen passen nicht mehr zu solchen Optionen.
  • In scp, mit -O ohne -p für root-besessene Dateien, werden setuid/setgid-Flags nach dem Laden gelöscht.
  • In sshd die ECDSA-Behandlung in PubkeyAcceptedAlgorithms und HostbasedAcceptedAlgorithms behoben: Nun werden nur explizit angegebene Algorithmen akzeptiert.

Diese Korrekturen verhindern Privilegieneskalation und unbefugten Zugriff über Konfigurationen.

Verbesserungen beim SSH-Agent und Protokoll

Hinzugefügte Kompatibilität mit draft-ietf-sshm-ssh-agent:

  • Unterstützung für IANA-Codepoint in ssh und sshd beim Interagieren mit Agents (@openssh.com beibehalten).
  • 'query'-Erweiterung in ssh-agent zur Überprüfung unterstützter Features. Die Option ssh-add -Q fordert die Liste der Erweiterungen an.
  • Die RevokedKeys-Richtlinie in sshd_config und RevokedHostKeys in ssh_config akzeptieren nun mehrere Dateien.

ssh fügt den Escape-Befehl ~I sowie die Optionen -O conninfo (Verbindungsinfo), -O channels (offene Kanäle) hinzu.

Google AdInline article slot

Neue sshd-Konfigurationsoptionen

Die Möglichkeiten von sshd_config wurden erweitert:

  • PerSourcePenalties mit 'invaliduser' für Verzögerungen (Standard 5s) bei Anmeldungen mit nicht existierenden Benutzern. Unterstützt Bruchwerte.
  • GSSAPIDelegateCredentials zur Steuerung delegierter Anmeldeinformationen vom Client.

ssh-keygen unterstützt nun das Schreiben von ED25519-Schlüsseln im PKCS8-Format. Hinzugefügte Unterstützung für ed25519-Signaturen über libcrypto.

Diese Änderungen vereinfachen die Administration und Überwachung in Produktionsumgebungen.

Google AdInline article slot

Wichtige Punkte

  • Kritische Patches für %u in ssh_config und principals in authorized_keys minimieren Ausnutzungsrisiken.
  • Neue IANA-Unterstützung in Agents gewährleistet Kompatibilität mit aufkommenden Standards.
  • Diagnoseoptionen (-O conninfo, -Q) beschleunigen das Debuggen von Verbindungen.
  • sshd_config-Erweiterungen (RevokedKeys, PerSourcePenalties) bieten granuliertere Zugriffskontrolle.
  • PKCS8-Format für ED25519 vereinfacht die Integration in moderne Krypto-Bibliotheken.

Der Umfang dieser Updates macht OpenSSH 10.3 zu einem Muss-Update für Enterprise-Server und -Clients. Vor der Bereitstellung in Staging testen.

— Editorial Team

Advertisement 728x90

Weiterlesen