Az OpenBSD csapata 2025. október 6-án kiadta az OpenSSH 10.1 verzióját, amely mostantól elérhető a hivatalos tükörszervereken. A teljes SSH 2.0 protokollt megvalósító csomag továbbra is magában foglalja az SFTP kliens- és szervertámogatást, és a kiadás ezúttal is számos fejlesztést, biztonsági javítást és kompatibilitási módosítást tartalmaz.
Tartalomjegyzék
Kvantumbiztos jövő és modernizált hálózati prioritások
A kiadás egyik legjelentősebb előrelépése a SHA1-alapú SSHFP DNS rekordok közelgő elavulttá nyilvánítása, amelyek a hash algoritmus ismert gyengeségei miatt kerülnek kivezetésre. A jövőben a szoftver kizárólag SHA256 alapú rekordokat fog generálni, amelyet az OpenSSH már 2012 óta támogat. Emellett új figyelmeztetés is megjelent, amely a nem kvantumbiztos kulcsmegállapodások használata esetén jelez, így felhívva a figyelmet az úgynevezett „store now, decrypt later” típusú támadások veszélyére.
Ezt a viselkedést a WarnWeakCrypto opció szabályozza, amely alapértelmezetten engedélyezett, és várhatóan további gyenge algoritmusokra is kiterjed majd a jövőben. Fontos változás történt a DSCP/IPQoS kezelésében is: az interaktív SSH-forgalom mostantól az Expedited Forwarding osztályba kerül, amely jobb késleltetési jellemzőket biztosít, míg a nem interaktív adatforgalom, például az SFTP átvitelek, az operációs rendszer alapértelmezett DSCP értékeit használják. Az IPv4 Type-of-Service kulcsszavak támogatása ezzel együtt megszűnik, mivel az elavult ToS modellt már a kilencvenes években felváltotta a differenciált szolgáltatási architektúra.
Új biztonsági modell és továbbfejlesztett eszközök
A biztonságot érintő fejlesztések között szerepel, hogy az ssh parancs immár nem engedi vezérlőkarakterek használatát a parancssorban megadott felhasználónevekben vagy URI-kban, ezzel megakadályozva bizonyos shell-injektálási kockázatokat. A változtatás David Leadbeater munkájának köszönhető, és célja, hogy a ProxyCommand konfigurációkban ne lehessen kártékony bemeneteket kihasználni. Az ssh-agent működése is biztonságosabbá vált, mivel a fogadó socketek a korábbi /tmp helyett mostantól a ~/.ssh/agent könyvtárban jönnek létre, így elkerülhető, hogy korlátozott fájlrendszer-hozzáférésű folyamatok illetéktelenül használják a kulcsokat. Az agent immár automatikusan törli a lejárt socketeket, és több új parancssori opcióval bővült a kezelésükhöz.
Fejlesztések, javítások
Az OpenSSH 10.1 több új funkciót is hoz: az ssh és sshd mostantól SIGINFO jelek segítségével képes futó csatorna- és session-információkat naplózni, valamint támogatja az ed25519 kulcsokat PKCS#11 tokeneken. Újdonság a RefuseConnection beállítás is, amely a konfiguráció feldolgozása közben képes megszakítani a kapcsolatot egy megadott üzenettel, így akár figyelmeztetésként is szolgálhat rendszergazdai környezetben. A hibajavítások között szerepel a MaxStartups folyamatok helyes kezelése, az X kliensek indítási késleltetésének megszüntetése, valamint a konfigurációs fájl méretének növelése 256 KB-ról 4 MB-ra, amely mostantól korai hibaüzenettel jelzi, ha a limit túllépésre kerül. Az sftp kliens stabilabb feltöltéseket biztosít, a naplózás pedig részletesebbé vált, különösen tanúsítványok elutasítása esetén.
A különböző operációs rendszereken való megbízható működést célzó fejlesztések javítják az OpenSSH stabilitását Linuxon, macOS-en és BSD-n egyaránt. Az sshd mostantól már figyeli, ha a PAM modulok megváltoztatják a felhasználónevet, a futex_time64 rendszerhívás pedig megfelelően támogatott a 32 bites Linux rendszereken. A kiadás tartalmazza a GNOME 40+ asztali környezethez készült új gnome-ssh-askpass4 segédprogramot, valamint javítja a systemd alatti agent-leállításokat. Az OpenBSD-ből származó egységteszt-keretrendszer immár alapvető teljesítménymérésekre is képes, így a fejlesztők pontosabb képet kaphatnak az OpenSSH különböző komponenseinek viselkedéséről.
További információk az Új OpenSSH 10.1 kiadás kapcsán a kiadási megjegyzésekben olvasható.
