Az OpenBSD égisze alatt fejlesztett és karbantartott OpenSSH projekt bejelentette az OpenSSH 10.3 megjelenését. A karbantartási frissítés már letölthető a projekt hivatalos tükörszervereiről.

Ez a kiadás több, akár inkompatibilitást is okozó változást tartalmaz. Az OpenSSH már nem támogatja azokat a régi implementációkat, amelyek nem teszik lehetővé a rekeyinget; ezek a kapcsolatok mostantól megszakadnak, amikor rekeyingre van szükség. Emellett az üres principalokat tartalmazó tanúsítványokat sem kezeli többé wildcardként.

A tanúsítványokban használt wildcard-illesztés is megváltozott. A wildcardokat mostantól következetesen támogatják a host tanúsítványoknál, viszont a user tanúsítványoknál már nem fogadják el. Az SSH kliens ezen felül most már ellenőrzi a ProxyJump (

-J

) opcióhoz parancssorból megadott user- és hostneveket, így csökken a shell injection kockázata a nem megfelelően kezelt Rusted bemenet miatt.

Az OpenSSH 10.3 több biztonsági problémát is javít. Az egyik SSH-hiba lehetővé tehette parancsok futtatását olyan beállításokban, ahol a felhasználó által befolyásolható bemenetet konfigurációs tokeneken keresztül bővítik ki. Egy másik, sshd-t érintő gond bizonyos esetekben hibás principal-illesztést okozhatott, amikor a tanúsítványok vesszővel elválasztott értékeket tartalmaztak az

authorized_keys

fájlban. A kiadás egy régóta fennálló SCP-problémát is megold: legacy módban, rootként letöltött fájloknál nem törlődtek a setuid és setgid bitek.

További javítások finomítják az ECDSA kulcsok algoritmuskezelését, és biztosítják, hogy csak a kifejezetten beállított algoritmusokat fogadják el. Kijavították a kapcsolat-multiplexelés visszaigazolási ellenőrzéseivel kapcsolatos hibákat is. Más kisebb módosítások növelik a stabilitást a konfigurációs direktívákban, a PAM-integrációban és a naplózásban.

Az új funkciók között az OpenSSH mostantól támogatja az IANA által kiosztott codepointokat az SSH agent forwardinghoz, igazodva a folyamatban lévő szabványosításhoz. Az

ssh-agent

és az

ssh-add

eszközök már képesek a protokollkiterjesztések lekérdezésére is, az

ssh-add

pedig egy új

-Q

opciót kapott.

A használhatóságot új, multiplexeléssel kapcsolatos SSH-parancsok javítják. A felhasználók a

ssh -O conninfo

paranccsal lekérdezhetik a kapcsolat részleteit, a

ssh -O channels

segítségével pedig megtekinthetik az aktív csatornákat. Az új escape szekvencia (

~I

) interaktív munkamenet közben hasonló információkat ad.

A konfiguráció terén bővült a

RevokedHostKeys

és a

RevokedKeys

direktívák támogatása: már több fájlt is megadhatsz. Az sshd szerver emellett egy „invaliduser” büntetést is bevezetett a

PerSourcePenalties

alatt, így az adminisztrátorok kezelhetik a nem létező felhasználókhoz tartozó sikertelen bejelentkezési kísérleteket. A büntetések időzítésének pontosságát is javították lebegőpontos értékek használatával.

Végül a kulcskezelés is fejlődött: már támogatott az ED25519 kulcsok PKCS8 formátumba írása, valamint bővült a FIDO/WebAuthn aláírások támogatása, ami mostantól alapértelmezetten be van kapcsolva. Teljesítményjavításokat is bevezettek, különösen az sntrup761 kulcscsere-algoritmusnál.

További információért nézd meg a változásnaplót.