Megjelent az OpenSSH 10.3, amely több biztonsági javítással, néhány kompatibilitást érintő változtatással és több új adminisztrációs lehetőséggel érkezik. A hivatalos kiadási megjegyzések szerint ez egy karbantartó frissítés, de a módosítások között akadnak olyanok is, amelyek a régebbi megoldásokkal való kompatibilitást megtörhetik.
Tartalomjegyzék

Az OpenSSH 10.3 szigorít a tanúsítványkezelésen és kivezeti egyes inkompatibilis implementációk támogatását
Az OpenSSH 10.3 kivezeti a kompatibilitási támogatást azoknál a régi implementációknál, amelyek nem tudják kezelni a kapcsolat közbeni kulcscserét. Emiatt az ilyen kapcsolatok megszakadnak, amikor új kulcs egyeztetésére kerül sor. Emellett a tanúsítványkezelés is szigorúbb lett: az üres principals mező többé nem számít általános egyezésnek, a helyettesítő karakterek pedig innentől csak a hoszttanúsítványoknál maradnak meg, felhasználói tanúsítványoknál már nem.
A kiadás egy olyan biztonsági hibát javít, amely egyes nem alapértelmezett beállítások mellett azért jelentkezhetett, mert a rendszer csak későn ellenőrizte a parancssorban megadott felhasználónév shell metakaraktereit. Ez főként azoknál a Match exec blokkoknál jelenthetett kockázatot, amelyek %u tokent használnak, mert ilyen esetekben elméletileg parancsvégrehajtásra is lehetőség nyílhatott. Az sshd kapcsán egy másik javítás a tanúsítványok principals mezőjének hibás kezelését orvosolja, amikor a benne szereplő, vesszővel elválasztott értékek illesztése nem a várt módon működött.
Emellett az scp egyik régebbi üzemmódjához kötődő hibát is javították: rootként letöltött fájloknál korábban megmaradhattak a setuid és setgid bitek, ha a felhasználó nem használta a jogosultságokat megőrző -p kapcsolót. A kiadás ezen felül rendezi az ECDSA algoritmuskezelés egyik hibáját, és a kapcsolat-multiplexelés jóváhagyási ellenőrzésén is módosít.
Agent forwarding, multiplexelés és kulcskezelés új lehetőségekkel
Az OpenSSH 10.3 az agent forwarding terén új korszakot nyit: bekerült az IANA által kiosztott codepointok támogatása az SSH agent forwardinghoz, a korábbi @openssh.com kiterjesztések megtartása mellett. Az ssh-agent mostantól kezeli a protocol extension lekérdezését, az ssh-add pedig új -Q kapcsolót kapott ehhez. A kliensoldali eszköztár bővült: az ssh -O conninfo és az ssh -O channels parancsokkal már menet közben le lehet kérdezni a multiplexelt kapcsolatok állapotát, az interaktív munkamenetben pedig a ~I escape szekvencia ad hasonló információt.
A konfigurációs és kulcskezelési rétegben a RevokedHostKeys és a RevokedKeys direktívák immár több fájlt is elfogadnak, az sshd pedig új invaliduser büntetési kategóriát kapott a PerSourcePenalties rendszerben, így a nem létező felhasználónevekkel próbálkozó bejelentkezéseket is külön lehet kezelni. A büntetési idők emellett lebegőpontos értékeket is használhatnak. Az ssh-keygen ettől a verziótól már ED25519 kulcsokat is tud PKCS8 formátumban írni, a FIDO és WebAuthn aláírások támogatása pedig alapértelmezésben engedélyezetté vált. A fejlesztők a sntrup761 kulcscsere teljesítményén is javítottak, és több kisebb korrekciót eszközöltek a PAM-integráció, a naplózás és az általános stabilitás terén.
A kiadási megjegyzések a projekt weboldalán tekinthetőek meg.
