OpenSSH 10.3: 핵심 보안 수정 및 새로운 기능
2026년 4월 2일, OpenSSH 10.3이 출시되었습니다. SSH 2.0 클라이언트와 서버, 그리고 SFTP의 안정 버전입니다. 이 업데이트는 10.0 버전 이후 발견된 버그와 취약점 수정에 중점을 둡니다. 업데이트된 구성 요소, 추가된 패치, 그리고 새로운 구성 옵션을 포함합니다. 이전 10.0 릴리스에서는 후양자 알고리즘 mlkem768×25_519-sha256을 도입하고 DSA 지원을 제거했습니다.
10.3 버전은 구성 오류 악용에 대한 보호를 강화하고 키 처리를 개선합니다. 개발자들은 ssh, sshd, scp의 문제를 수정하며 IANA 프로토콜과 진단 도구 지원을 추가했습니다.
주요 취약점 수정
주요 변경 사항은 보안에 초점을 맞춥니다. 다음은 주요 패치입니다:
- ssh에서 Match exec의 %u 대체를 사용한 사용자 이름 검사로 셸 명령 실행이 가능했던 취약점을 수정했습니다. 이제 ssh_config에서 대체 전에 특수 문자 유효성 검사를 수행합니다.
- sshd에서 authorized_keys principals=""와 쉼표가 포함된 인증서 이름 매칭을 수정했습니다. 빈 이름의 인증서는 더 이상 해당 옵션과 매치되지 않습니다.
- scp에서 root 소유 파일에 대해 -p 없이 -O를 사용할 때 setuid/setgid 플래그를 로드 후 지웁니다.
- sshd에서 PubkeyAcceptedAlgorithms와 HostbasedAcceptedAlgorithms의 ECDSA 처리를 수정했습니다: 이제 명시적으로 지정된 알고리즘만 허용됩니다.
이러한 수정은 구성 오류를 통한 권한 상승과 무단 액세스를 방지합니다.
SSH 에이전트 및 프로토콜 개선
draft-ietf-sshm-ssh-agent와의 호환성을 추가했습니다:
- ssh와 sshd에서 에이전트와 상호작용할 때 IANA 코드포인트 지원(@openssh.com 유지).
- ssh-agent의 'query' 확장으로 지원 기능 확인. ssh-add -Q 옵션으로 확장 목록을 요청합니다.
- sshd_config의 RevokedKeys 지시문과 ssh_config의 RevokedHostKeys가 이제 여러 파일을 허용합니다.
ssh에 ~I 이스케이프 명령과 -O conninfo(연결 정보), -O channels(채널 열기) 옵션을 추가했습니다.
새로운 sshd 구성 옵션
sshd_config 기능이 확장되었습니다:
- PerSourcePenalties에 'invaliduser'로 존재하지 않는 사용자 로그인 시 지연(기본 5초)을 적용합니다. 소수점 값 지원.
- GSSAPIDelegateCredentials로 클라이언트의 위임된 자격 증명을 제어합니다.
ssh-keygen은 이제 ED25519 키를 PKCS8 형식으로 작성할 수 있습니다. libcrypto를 통한 ed25519 서명 지원을 추가했습니다.
이러한 변경은 프로덕션 환경에서 관리와 모니터링을 단순화합니다.
주요 포인트
- ssh_config의 %u와 authorized_keys principals에 대한 주요 패치로 악용 위험을 최소화합니다.
- 에이전트의 새로운 IANA 지원으로 신흥 표준과의 호환성을 보장합니다.
- 진단 옵션(-O conninfo, -Q)으로 연결 디버깅을 가속화합니다.
- sshd_config 확장(RevokedKeys, PerSourcePenalties)으로 더 세밀한 액세스 제어를 제공합니다.
- ED25519의 PKCS8 형식으로 현대 암호 라이브러리와의 통합을 단순화합니다.
이 업데이트의 범위로 OpenSSH 10.3은 엔터프라이즈 서버와 클라이언트에 필수 업데이트입니다. 배포 전에 스테이징 환경에서 테스트하세요.
— Editorial Team
아직 댓글이 없습니다.