# OpenSSH 10.3: kluczowe poprawki bezpieczeństwa i nowe funkcje
2 kwietnia 2026 r. ukazała się wersja OpenSSH 10.3 — stabilne wydanie klienta i serwera SSH 2.0 oraz SFTP. Aktualizacja skupia się na eliminacji błędów i luk bezpieczeństwa wykrytych po wersji 10.0. Zaktualizowano komponenty, dodano patche i nowe opcje konfiguracji. Poprzedni release 10.0 wprowadził postkwantowy algorytm mlkem768×25_519-sha256 i usunął obsługę DSA.
Wersja 10.3 wzmacnia ochronę przed wykorzystywaniem błędów konfiguracji i poprawia obsługę kluczy. Deweloperzy usunęli problemy w ssh, sshd i scp, dodając obsługę protokołów IANA oraz narzędzi diagnostycznych.
Poprawki krytycznych luk bezpieczeństwa
Główne zmiany dotyczą bezpieczeństwa. Oto kluczowe patche:
- Usunięto lukę w ssh, gdzie kontrola nazwy użytkownika z podstawnikiem %u w Match exec pozwalała na wykonanie poleceń shell. Sprawdzanie znaków specjalnych odbywa się teraz przed podstawkami w ssh_config.
- W sshd poprawiono dopasowywanie principals="" w authorized_keys do nazw w certyfikatach zawierających przecinki. Certyfikaty z pustymi nazwami nie są już objęte takimi opcjami.
- W scp przy opcji -O bez -p dla plików root czyszczone są flagi setuid/setgid po załadowaniu.
- W sshd poprawiono obsługę ECDSA w PubkeyAcceptedAlgorithms i HostbasedAcceptedAlgorithms: akceptowane są teraz tylko jawnie wskazane algorytmy.
Te poprawki zapobiegają eskalacji uprawnień i nieautoryzowanemu dostępowi przez konfigurację.
Ulepszenia agentów SSH i protokołów
Dodano kompatybilność z draft-ietf-sshm-ssh-agent:
- Obsługa codepoint IANA w ssh i sshd przy interakcji z agentami (@openssh.com zachowane).
- Rozszerzenie 'query' w ssh-agent do sprawdzania obsługiwanych funkcji. Opcja ssh-add -Q pyta o listę rozszerzeń.
- Dyrektywa RevokedKeys w sshd_config i RevokedHostKeys w ssh_config akceptuje teraz wiele plików.
W ssh pojawiły się komenda escape ~I oraz opcje -O conninfo (informacje o połączeniu), -O channels (otwarte kanały).
Nowe opcje konfiguracji sshd
Rozszerzono możliwości sshd_config:
- PerSourcePenalties z 'invaliduser' do opóźnienia (domyślnie 5 s) przy logowaniu nieistniejącym użytkownikiem. Obsługa wartości ułamkowych.
- GSSAPIDelegateCredentials do kontroli delegowanych poświadczeń od klienta.
W ssh-keygen dodano zapis kluczy ED25519 w formacie PKCS8. Obsługa podpisów ed25519 przez libcrypto.
Te zmiany ułatwiają administrację i monitorowanie w środowiskach produkcyjnych.
Co ważne
- Krytyczne patche dla %u w ssh_config i principals w authorized_keys minimalizują ryzyko wykorzystania.
- Nowa obsługa IANA w agentach zapewnia kompatybilność z wschodzącymi standardami.
- Opcje diagnostyczne (-O conninfo, -Q) przyspieszają debugowanie połączeń.
- Rozszerzenia sshd_config (RevokedKeys, PerSourcePenalties) zwiększają granularną kontrolę dostępu.
- Format PKCS8 dla ED25519 ułatwia integrację z nowoczesnymi bibliotekami kryptograficznymi.
Ogólny zakres aktualizacji czyni OpenSSH 10.3 obowiązkową aktualizacją dla serwerów i klientów w środowiskach enterprise. Testujcie w staging przed wdrożeniem.
— Editorial Team
Brak komentarzy.