Megjelent az OpenSSH 10.4, amely több biztonsági sebezhetőségre hoz hibajavítást az SSH, az SCP, az SFTP és az sshd működésében. A kiadás emellett szigorúbb protokollkezelést vezet be, valamint kísérleti támogatást nyújt egy posztkvantum irányba mutató, ML-DSA 44 és Ed25519 aláírásokat kombináló megoldáshoz.

Az egyik javítás az sftp klienst érinti. Egy támadó által kontrollált vagy manipulált szerver bizonyos esetekben elérhette, hogy a kliens nem a várt helyre töltsön le fájlokat, például az sftp host:/path típusú parancsok használatakor. Hasonló problémát javítottak az scp esetében is, ahol távoli gépek közötti másolásnál egy manipulált szerver a célkönyvtár szülőmappájába írhatott fájlokat.
Az sshd belső SFTP-megoldása is javítást kapott. Ez nem az alapértelmezett SFTP-szerver, de ahol ezt használják, ott gondot okozhatott, hogy a hosszú parancsok egy része figyelmeztetés nélkül lemaradt. A hiba akkor jelenthetett kockázatot, ha egy fontos beállítás a parancs végére került, mert ilyen esetben az sshd egyszerűen nem vette figyelembe.
A kiadás egy hitelesítés előtt kihasználható szolgáltatásmegtagadási sebezhetőséget is javít. Ez azokban a helyzetekben fordulhat elő, ahol engedélyezve van a GSSAPI-alapú hitelesítés. Ez alapértelmezetten nincs bekapcsolva, de vállalati környezetben vagy központi hitelesítést használó rendszereken előfordulhat. Emellett több olyan hibát is javítottak, ahol az sshd nem tartotta be megfelelően a sikertelen bejelentkezési próbálkozások közötti késleltetést.
Az OpenSSH 10.4 szigorúbban kezeli az SSH-kapcsolatok kulcscseréjét is. Az ssh és az sshd mostantól bontja a kapcsolatot, ha a másik fél kulcscsere közben olyan üzeneteket küld, amelyeknek ott nincs helyük. Ez csökkenti a hibás vagy támadásra használt SSH-megoldások által okozott felesleges memóriahasználatot, de néhány szabálytalanul működő implementációnál kompatibilitási problémát is okozhat.
A Rendszergazdáknak két változásra érdemes figyelniük. Az sshd -G kimenete mostantól nem csak kisbetűs beállításneveket használ, ami érintheti azokat a scripteket, amelyek ezt a kimenetet dolgozzák fel. Linuxon szigorodott a seccomp sandbox kezelése is: ha a szükséges biztonsági funkciók nem kapcsolhatók be, az sshd futása hibaüzenettel megszakad.
Újdonságként bekerült egy kísérleti aláírási megoldás is, amely az ML-DSA 44 és az Ed25519 kombinációjára épül. Ez alapértelmezésben nincs bekapcsolva, teszteléshez külön engedélyezni kell. A kiadás emellett lecserélte a wildcard minták kezelését egy hatékonyabb megoldásra, amely elkerüli a korábbi módszer legrosszabb esetben jelentkező nagy teljesítményvesztését.
Az OpenSSH 10.4 ezen felül sok kisebb hibát is javít az ssh-agent, a FIDO-kulcsok, az SFTP, az X11-csatornák, a PKCS#11 host kulcsok és a konfigurációfeldolgozás területén, valamint több memóriaszivárgást és összeomlást is megszüntet. További részletek a kiadási bejelentésben olvashatóak.
