Релиз OpenSSH 10.1

6 октября 2025 года состоялся релиз открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP — инструмента OpenSSH 10.1.

9 апреля 2025 года вышла версия OpenSSH 10.0, где была полностью удалена поддержка алгоритма подписи DSA, добавлена возможность использование постквантового алгоритма mlkem768×25 519-sha256 для согласования ключей по умолчанию, а также появилась поддержка активации systemd‑style socket в Portable OpenSSH.

Согласно данным OpenNET, основные изменения и дополнения в OpenSSH 10.1:

устранена проблема с безопасностью, позволяющая атакующему подставить shell‑команды через манипуляции со спецсимволами в имени пользователя или URI, которые могли быть выполнены при запуске команды, указанной через настройку ProxyCommand и содержащей подстановку %u. Проблема затрагивает только системы, допускающие при запуске ssh подстановку имён пользователей или URI, полученных из незаслуживающих доверия источников;

для блокирования подобных атак запрещено использование управляющих символов в именах пользователей, указываемых при запуске в командной строке или подставляемых в настройки через%‑последовательности. Также запрещено использование нулевого символа ("\0") в URI ssh://. Исключение сделано только для имён, заданных в файле конфигурации (подразумевается, что данные d файле конфигурации заслуживают доверия);

в утилиты ssh и ssh‑agent добавлена поддержка ключей ed25519, хранимых в токенах PKCS#11;

в файл конфигурации ssh_config добавлена настройка RefuseConnection, при обработке которой в активной секции осуществляется завершение работы процесса с выводом сообщения об ошибке без попытки установки соединения;

в ssh и sshd добавлены обработчики сигнала SIGINFO для вывода в лог информации о сеансе и активном