Выпуск OpenSSH 10.3

2 апреля 2026 года состоялся релиз открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP — инструмента OpenSSH 10.3. В новой версии в основном исправлены ошибки и баги, обнаруженные после выхода предыдущей стабильной сборки, а также обновлены компоненты и подготовлены патчи для уязвимостей.

9 апреля 2025 года вышла версия OpenSSH 10.0, где была полностью удалена поддержка алгоритма подписи DSA, добавлена возможность использования постквантового алгоритма mlkem768×25 519-sha256 для согласования ключей по умолчанию, а также появилась поддержка активации systemd‑style socket в Portable OpenSSH.

По информации OpenNET, основные изменения и доработки в OpenSSH 10.3:

устранена уязвимость, позволяющая атакующему, контролирующему имя пользователя, передаваемое при запуске утилиты ssh, потенциально добиться выполнения произвольных shell‑команд. Уязвимость проявляется в системах, использующих подстановку «%u» в некоторых директивах файла конфигурации, таких как «Match exec». Проблем вызвана проверкой спецсимволов в имени пользователя на стадии после выполнения %‑подстановок в файле конфигурации ssh_config;

устранена проблема с безопасностью в sshd, вызванная некорректным сопоставлением опции authorized_keys principals="" со списком имён (principal) в сертификате в ситуации, когда в именах указан символ ",". Для эксплуатации уязвимости необходимо, чтобы в опции authorized_keys principals="" было указано несколько имён и чтобы удостоверяющий центр выписал сертификат с несколькими именами, разделёнными запятой (обычно такое не допускается). Изменено поведение в отношении сертификатов с пустым именем: ранее пустое имя подпадало под все опции authorized_keys principals="", а теперь не подпадает;

в scp устранена