Powrót do strony głównej

OpenSSH 10.3: poprawki bezpieczeństwa i nowości

OpenSSH 10.3 skupia się na poprawkach luk w ssh i sshd, w tym substytucjach %u i authorized_keys. Dodano wsparcie IANA w agentach, nowe opcje konfiguracji i PKCS8 dla ED25519. Wydanie wzmacnia ochronę systemów production.

OpenSSH 10.3 wydany: poprawki luk i agenty SSH
Advertisement 728x90

# OpenSSH 10.3: kluczowe poprawki bezpieczeństwa i nowe funkcje

2 kwietnia 2026 r. ukazała się wersja OpenSSH 10.3 — stabilne wydanie klienta i serwera SSH 2.0 oraz SFTP. Aktualizacja skupia się na eliminacji błędów i luk bezpieczeństwa wykrytych po wersji 10.0. Zaktualizowano komponenty, dodano patche i nowe opcje konfiguracji. Poprzedni release 10.0 wprowadził postkwantowy algorytm mlkem768×25_519-sha256 i usunął obsługę DSA.

Wersja 10.3 wzmacnia ochronę przed wykorzystywaniem błędów konfiguracji i poprawia obsługę kluczy. Deweloperzy usunęli problemy w ssh, sshd i scp, dodając obsługę protokołów IANA oraz narzędzi diagnostycznych.

Poprawki krytycznych luk bezpieczeństwa

Główne zmiany dotyczą bezpieczeństwa. Oto kluczowe patche:

Google AdInline article slot
  • Usunięto lukę w ssh, gdzie kontrola nazwy użytkownika z podstawnikiem %u w Match exec pozwalała na wykonanie poleceń shell. Sprawdzanie znaków specjalnych odbywa się teraz przed podstawkami w ssh_config.
  • W sshd poprawiono dopasowywanie principals="" w authorized_keys do nazw w certyfikatach zawierających przecinki. Certyfikaty z pustymi nazwami nie są już objęte takimi opcjami.
  • W scp przy opcji -O bez -p dla plików root czyszczone są flagi setuid/setgid po załadowaniu.
  • W sshd poprawiono obsługę ECDSA w PubkeyAcceptedAlgorithms i HostbasedAcceptedAlgorithms: akceptowane są teraz tylko jawnie wskazane algorytmy.

Te poprawki zapobiegają eskalacji uprawnień i nieautoryzowanemu dostępowi przez konfigurację.

Ulepszenia agentów SSH i protokołów

Dodano kompatybilność z draft-ietf-sshm-ssh-agent:

  • Obsługa codepoint IANA w ssh i sshd przy interakcji z agentami (@openssh.com zachowane).
  • Rozszerzenie 'query' w ssh-agent do sprawdzania obsługiwanych funkcji. Opcja ssh-add -Q pyta o listę rozszerzeń.
  • Dyrektywa RevokedKeys w sshd_config i RevokedHostKeys w ssh_config akceptuje teraz wiele plików.

W ssh pojawiły się komenda escape ~I oraz opcje -O conninfo (informacje o połączeniu), -O channels (otwarte kanały).

Google AdInline article slot

Nowe opcje konfiguracji sshd

Rozszerzono możliwości sshd_config:

  • PerSourcePenalties z 'invaliduser' do opóźnienia (domyślnie 5 s) przy logowaniu nieistniejącym użytkownikiem. Obsługa wartości ułamkowych.
  • GSSAPIDelegateCredentials do kontroli delegowanych poświadczeń od klienta.

W ssh-keygen dodano zapis kluczy ED25519 w formacie PKCS8. Obsługa podpisów ed25519 przez libcrypto.

Te zmiany ułatwiają administrację i monitorowanie w środowiskach produkcyjnych.

Google AdInline article slot

Co ważne

  • Krytyczne patche dla %u w ssh_config i principals w authorized_keys minimalizują ryzyko wykorzystania.
  • Nowa obsługa IANA w agentach zapewnia kompatybilność z wschodzącymi standardami.
  • Opcje diagnostyczne (-O conninfo, -Q) przyspieszają debugowanie połączeń.
  • Rozszerzenia sshd_config (RevokedKeys, PerSourcePenalties) zwiększają granularną kontrolę dostępu.
  • Format PKCS8 dla ED25519 ułatwia integrację z nowoczesnymi bibliotekami kryptograficznymi.

Ogólny zakres aktualizacji czyni OpenSSH 10.3 obowiązkową aktualizacją dla serwerów i klientów w środowiskach enterprise. Testujcie w staging przed wdrożeniem.

— Editorial Team

Advertisement 728x90

Czytaj dalej