Версия OpenSSH 10.4

3 мин
Версия OpenSSH 10.4

6 июля 2026 года состоялся выпуск открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP — инструмента OpenSSH 10.4. В новой версии главным образом исправлены ошибки и баги, обнаруженные после выхода предыдущей стабильной сборки, а также обновлены компоненты и подготовлены патчи для уязвимостей.

9 апреля 2025 года вышла релиз OpenSSH 10.0, где была целиком удалена поддержка алгоритма подписи DSA, добавлена функция использования постквантового алгоритма mlkem768×25 519-sha256 для согласования ключей по умолчанию, а также появилась сопровождение активации systemd‑style socket в Portable OpenSSH.

По информации OpenNET, основные изменения и доработки в OpenSSH 10.4:

  • добавлена экспериментальная поддержка составной постквантовой схемы подписи, которая объединяет ML-DSA 44 и Ed25519, как указано в draft-miller-sshm-mldsa44-ed25519-composite-sigs. Эта модель не включена по умолчанию. Для её использования потребуется добавить её в HostKeyAlgorithms, PubkeyAcceptedAlgorithms. Ключи можно сгенерировать с помощью "ssh-keygen -t mldsa44-ed25519";

  • в ssh и sshd задействована новая реализация системы сопоставления по шаблону, основанная на недетерминированном конечном автомате и не подверженная проблеме экспоненциального роста сложности вычислений при использовании масок, содержащих много символов "*";

  • при использовании опции "sshd -G" в дамп конфигурации директивы теперь записываются с использованием прописных и строчных букв, вместо записи только строчными буквами (т.е. "PubkeyAuthentication" вместо "pubkeyauthentication");

  • в системах Linux с включённой песочницей seccomp сбои при включении SECCOMP или NO_NEW_PRIVS теперь являются фатальными. Ранее sshd(8) регистрировал ошибку, но продолжал работу, для поддержки систем, в которых отсутствовали эти функции. Теперь системы, в которых они отсутствуют, должны вместо этого отключать песочницу во время настройки;

  • улучшен и обезопасен протокол передачи данных путём отключения, если участник отправляет сообщения, не относящиеся к обмену ключами аутентификации, во время повторного обмена ключами аутентификации. Ранее злонамеренный участник мог продолжать отправлять сообщения, не относящиеся к обмену ключами, без каких-либо последствий. Эти информация будут буферизоваться, что приведет к нерациональному расходованию памяти до тех пор, пока соединение не будет разорвано или сервер/клиент не достигнет предела памяти. Реализации, которые не ограничивают сообщения, отправляемые во время обмена ключами, в соответствии с разделом 7.1 RFC4253, могут быть отключены.

  • устранены проблемы с безопасностью:

    • в утилите ssh устранено потенциальное обращение к памяти после её освобождения (use‑after‑free) при обращении к вредоносному серверу. Задача эксплуатируется через изменение хостового ключа в процессе повторного обмена ключами;

    • уязвимость в sftp, позволяющая организовать загрузку файла в другую директорию при обращении к вредоносному серверу с использованием команды в форме «sftp host:/path»;

    • уязвимость в scp, позволяющая при копировании файлов между двумя внешними серверами, один из которых подконтролен атакующему, организовать запись файлов в родительскую директорию, находящуюся на уровень ниже целевой директории;

    • устранена проблема в sshd, проявляющаяся при использовании внутренней реализации SFTP‑сервера («internal‑sftp»), отключённой по умолчанию. Задача связана с отсечением длинных последовательностей в командной строке после 9 аргумента, приводящей к отбрасыванию следующих аргументов. Итак потенциально могут быть отброшены опции, связанные с обеспечением безопасности;

    • в sshd устранена недоработка, из‑за которой директива «DisableForwarding=yes» не отключала возможность создания туннелей, разрешённых опцией «PermitTunnel=yes» (по умолчанию не выставляется);

    • в sshd устранена проблема, которую можно использования для инициирования отказа в обслуживании на стадии до прохождения аутентификации при включении в настройках директивы GSSAPIAuthentication (отключена по умолчанию). Задача не блокируется через лимит «MaxAuthTries», но подпадает под действие ограничения «PerSourcePenalties»;

    • в sshd устранены недоработки, из‑за которых не всегда добавлялась минимальная задержка между попытками аутентификации.

Читают сейчас

Открытая GLM-5.2 почти догнала фронтир: новые отраслевые индексы Artificial Analysis

21 минуту назад

Открытая GLM-5.2 почти догнала фронтир: новые отраслевые индексы Artificial Analysis

Artificial Analysis запустила шесть отраслевых индексов, которые сравнивают ИИ-модели не по абстрактным тестам, а по задачам конкретных профессий: финансы и бухгалтерия (Finance & Accounting), юриспру

Apple представила каркас Trust Insights для выявления жертв социальной инженерии

30 минут назад

Apple представила каркас Trust Insights для выявления жертв социальной инженерии

В iOS 27 Apple представила каркас Trust Insights, который оповещает приложения о том, что потребитель может стать жертвой мошенничества. Ознакомиться далее

Стартап-компания Rilla доплачивает каждому сотруднику по $18 тысяч на жильё

40 минут назад

Стартап-компания Rilla доплачивает каждому сотруднику по $18 тысяч на жильё

Гендиректор и соучредитель нью-йоркского стартапа Rilla Себастьян Хименес рассказал, как он мотивирует сотрудников быть более продуктивными. Так, за аренду жилья в 10 минутах от офиса им могут доплачи

Пользователи Starlink в США сообщили о крупных доплатах за подключение в регионах с высокой загрузкой

1 час назад

Пользователи Starlink в США сообщили о крупных доплатах за подключение в регионах с высокой загрузкой

Пользователи Starlink в США заявили, что им приходится создавать крупные разовые доплаты за подключение в регионах с высокой загрузкой сети. В отдельных районах эта сумма может достигать $1500. Ознако

Reddit использует большие языковые модели для решения проблем LLM

1 час назад

Reddit использует большие языковые модели для решения проблем LLM

В Reddit разработали инструменты с использованием больших языковых моделей для борьбы со спамом, большая часть которого изначально создавалась с помощью LLM. По данным платформы, ежедневно они блокиру