OpenSSH 10.3 : Corrections de sécurité clés et nouvelles fonctionnalités
Le 2 avril 2026, OpenSSH 10.3 a été publié — une version stable du client et du serveur SSH 2.0, ainsi que SFTP. Cette mise à jour se concentre sur la correction des bogues et vulnérabilités découverts depuis la version 10.0. Elle inclut des composants mis à jour, des correctifs ajoutés et de nouvelles options de configuration. La version précédente 10.0 a introduit l'algorithme post-quantique mlkem768×25_519-sha256 et supprimé le support DSA.
La version 10.3 renforce la protection contre l'exploitation des erreurs de configuration et améliore la gestion des clés. Les développeurs ont corrigé des problèmes dans ssh, sshd et scp, en ajoutant le support des protocoles IANA et des outils de diagnostic.
Corrections critiques de vulnérabilités
Les principaux changements se concentrent sur la sécurité. Voici les principaux correctifs :
- Correction d'une vulnérabilité dans ssh où les vérifications de nom d'utilisateur avec la substitution %u dans Match exec permettaient l'exécution de commandes shell. La validation des caractères spéciaux intervient désormais avant les substitutions dans ssh_config.
- Dans sshd, correction de la correspondance des principaux authorized_keys principals="" avec des noms dans les certificats contenant des virgules. Les certificats avec des noms vides ne correspondent plus à de telles options.
- Dans scp, avec -O sans -p pour les fichiers appartenant à root, les drapeaux setuid/setgid sont effacés après chargement.
- Dans sshd, correction de la gestion ECDSA dans PubkeyAcceptedAlgorithms et HostbasedAcceptedAlgorithms : désormais, seuls les algorithmes explicitement spécifiés sont acceptés.
Ces correctifs empêchent l'escalade de privilèges et l'accès non autorisé via la configuration.
Améliorations de l'agent SSH et du protocole
Ajout de la compatibilité avec draft-ietf-sshm-ssh-agent :
- Support du point de code IANA dans ssh et sshd lors des interactions avec les agents (@openssh.com conservé).
- Extension 'query' dans ssh-agent pour vérifier les fonctionnalités supportées. L'option ssh-add -Q demande la liste des extensions.
- La directive RevokedKeys dans sshd_config et RevokedHostKeys dans ssh_config acceptent désormais plusieurs fichiers.
ssh ajoute la commande d'échappement ~I et les options -O conninfo (informations de connexion), -O channels (canaux ouverts).
Nouvelles options de configuration sshd
Les capacités de sshd_config ont été étendues :
- PerSourcePenalties avec 'invaliduser' pour des délais (par défaut 5s) sur les connexions avec des utilisateurs inexistants. Prend en charge les valeurs fractionnaires.
- GSSAPIDelegateCredentials pour contrôler les identifiants délégués du client.
ssh-keygen supporte désormais l'écriture des clés ED25519 au format PKCS8. Ajout du support des signatures ed25519 via libcrypto.
Ces changements simplifient l'administration et la surveillance en environnement de production.
Points clés
- Correctifs critiques pour %u dans ssh_config et principals dans authorized_keys minimisent les risques d'exploitation.
- Nouveau support IANA dans les agents assure la compatibilité avec les normes émergentes.
- Options de diagnostic (-O conninfo, -Q) accélèrent le débogage des connexions.
- Extensions sshd_config (RevokedKeys, PerSourcePenalties) offrent un contrôle d'accès plus granulaire.
- Format PKCS8 pour ED25519 simplifie l'intégration avec les bibliothèques crypto modernes.
La portée de ces mises à jour fait d'OpenSSH 10.3 une obligation de mise à niveau pour les serveurs et clients en entreprise. Testez en staging avant déploiement.
— Editorial Team
Aucun commentaire pour le moment.