OpenSSH 10.3: Correcciones clave de seguridad y nuevas funciones
El 2 de abril de 2026 se lanzó OpenSSH 10.3, una versión estable del cliente y servidor SSH 2.0, y SFTP. La actualización se centra en corregir errores y vulnerabilidades descubiertas desde la versión 10.0. Incluye componentes actualizados, parches añadidos y nuevas opciones de configuración. La versión anterior 10.0 introdujo el algoritmo postcuántico mlkem768×25_519-sha256 y eliminó el soporte para DSA.
La versión 10.3 fortalece la protección contra la explotación de errores de configuración y mejora el manejo de claves. Los desarrolladores corrigieron problemas en ssh, sshd y scp, añadiendo soporte para protocolos IANA y herramientas de diagnóstico.
Correcciones de vulnerabilidades críticas
Los cambios clave se centran en la seguridad. Aquí están los principales parches:
- Corregida una vulnerabilidad en ssh donde las comprobaciones de nombre de usuario con sustitución %u en Match exec permitían ejecutar comandos de shell. Ahora la validación de caracteres especiales se realiza antes de las sustituciones en ssh_config.
- En sshd, corregida la coincidencia de principals="" en authorized_keys con nombres en certificados que contienen comas. Los certificados con nombres vacíos ya no coinciden con dichas opciones.
- En scp, con -O sin -p para archivos propiedad de root, se eliminan las marcas setuid/setgid después de cargarlos.
- En sshd, corregido el manejo de ECDSA en PubkeyAcceptedAlgorithms y HostbasedAcceptedAlgorithms: ahora solo se aceptan los algoritmos especificados explícitamente.
Estas correcciones evitan la escalada de privilegios y el acceso no autorizado a través de la configuración.
Mejoras en SSH Agent y el protocolo
Añadida compatibilidad con draft-ietf-sshm-ssh-agent:
- Soporte para codepoint IANA en ssh y sshd al interactuar con agentes (@openssh.com se mantiene).
- Extensión 'query' en ssh-agent para comprobar funciones compatibles. La opción ssh-add -Q solicita la lista de extensiones.
- La directiva RevokedKeys en sshd_config y RevokedHostKeys en ssh_config ahora aceptan múltiples archivos.
ssh añadió el comando de escape ~I y las opciones -O conninfo (información de conexión), -O channels (canales abiertos).
Nuevas opciones de configuración de sshd
Las capacidades de sshd_config se han ampliado:
- PerSourcePenalties con 'invaliduser' para retrasos (predeterminado 5s) en inicios de sesión con usuarios inexistentes. Admite valores fraccionarios.
- GSSAPIDelegateCredentials para controlar las credenciales delegadas desde el cliente.
ssh-keygen ahora admite escribir claves ED25519 en formato PKCS8. Añadido soporte para firmas ed25519 mediante libcrypto.
Estos cambios simplifican la administración y el monitoreo en entornos de producción.
Puntos clave
- Parches críticos para %u en ssh_config y principals en authorized_keys minimizan los riesgos de explotación.
- Nuevo soporte IANA en agentes asegura compatibilidad con estándares emergentes.
- Opciones de diagnóstico (-O conninfo, -Q) aceleran la depuración de conexiones.
- Extensiones de sshd_config (RevokedKeys, PerSourcePenalties) proporcionan un control de acceso más granular.
- Formato PKCS8 para ED25519 simplifica la integración con bibliotecas criptográficas modernas.
El alcance de estas actualizaciones hace que OpenSSH 10.3 sea una actualización imprescindible para servidores y clientes empresariales. Prueba en entornos de preproducción antes de implementar.
— Editorial Team
Aún no hay comentarios.