Volver al inicio

OpenSSH 10.3: parches de seguridad y nuevas funciones

OpenSSH 10.3 se centra en parches de vulnerabilidades en ssh y sshd, incluyendo sustituciones %u y authorized_keys. Añadido soporte IANA en agentes, nuevas opciones de configuración y PKCS8 para ED25519. La versión mejora la protección para sistemas de producción.

OpenSSH 10.3 lanzado: correcciones de vulnerabilidades y agentes SSH
Advertisement 728x90

OpenSSH 10.3: Correcciones clave de seguridad y nuevas funciones

El 2 de abril de 2026 se lanzó OpenSSH 10.3, una versión estable del cliente y servidor SSH 2.0, y SFTP. La actualización se centra en corregir errores y vulnerabilidades descubiertas desde la versión 10.0. Incluye componentes actualizados, parches añadidos y nuevas opciones de configuración. La versión anterior 10.0 introdujo el algoritmo postcuántico mlkem768×25_519-sha256 y eliminó el soporte para DSA.

La versión 10.3 fortalece la protección contra la explotación de errores de configuración y mejora el manejo de claves. Los desarrolladores corrigieron problemas en ssh, sshd y scp, añadiendo soporte para protocolos IANA y herramientas de diagnóstico.

Correcciones de vulnerabilidades críticas

Los cambios clave se centran en la seguridad. Aquí están los principales parches:

Google AdInline article slot
  • Corregida una vulnerabilidad en ssh donde las comprobaciones de nombre de usuario con sustitución %u en Match exec permitían ejecutar comandos de shell. Ahora la validación de caracteres especiales se realiza antes de las sustituciones en ssh_config.
  • En sshd, corregida la coincidencia de principals="" en authorized_keys con nombres en certificados que contienen comas. Los certificados con nombres vacíos ya no coinciden con dichas opciones.
  • En scp, con -O sin -p para archivos propiedad de root, se eliminan las marcas setuid/setgid después de cargarlos.
  • En sshd, corregido el manejo de ECDSA en PubkeyAcceptedAlgorithms y HostbasedAcceptedAlgorithms: ahora solo se aceptan los algoritmos especificados explícitamente.

Estas correcciones evitan la escalada de privilegios y el acceso no autorizado a través de la configuración.

Mejoras en SSH Agent y el protocolo

Añadida compatibilidad con draft-ietf-sshm-ssh-agent:

  • Soporte para codepoint IANA en ssh y sshd al interactuar con agentes (@openssh.com se mantiene).
  • Extensión 'query' en ssh-agent para comprobar funciones compatibles. La opción ssh-add -Q solicita la lista de extensiones.
  • La directiva RevokedKeys en sshd_config y RevokedHostKeys en ssh_config ahora aceptan múltiples archivos.

ssh añadió el comando de escape ~I y las opciones -O conninfo (información de conexión), -O channels (canales abiertos).

Google AdInline article slot

Nuevas opciones de configuración de sshd

Las capacidades de sshd_config se han ampliado:

  • PerSourcePenalties con 'invaliduser' para retrasos (predeterminado 5s) en inicios de sesión con usuarios inexistentes. Admite valores fraccionarios.
  • GSSAPIDelegateCredentials para controlar las credenciales delegadas desde el cliente.

ssh-keygen ahora admite escribir claves ED25519 en formato PKCS8. Añadido soporte para firmas ed25519 mediante libcrypto.

Estos cambios simplifican la administración y el monitoreo en entornos de producción.

Google AdInline article slot

Puntos clave

  • Parches críticos para %u en ssh_config y principals en authorized_keys minimizan los riesgos de explotación.
  • Nuevo soporte IANA en agentes asegura compatibilidad con estándares emergentes.
  • Opciones de diagnóstico (-O conninfo, -Q) aceleran la depuración de conexiones.
  • Extensiones de sshd_config (RevokedKeys, PerSourcePenalties) proporcionan un control de acceso más granular.
  • Formato PKCS8 para ED25519 simplifica la integración con bibliotecas criptográficas modernas.

El alcance de estas actualizaciones hace que OpenSSH 10.3 sea una actualización imprescindible para servidores y clientes empresariales. Prueba en entornos de preproducción antes de implementar.

— Editorial Team

Advertisement 728x90

Leer después