- Выпущена версия OpenSSH 10.1 с исправлениями безопасности и новыми функциями.
- Запрещено использование управляющих символов в именах пользователей и URI для предотвращения атак.
- Добавлена поддержка ключей ed25519 в токенах PKCS#11 и расширена диагностика в логах sshd.
6 октября 2025 года состоялся релиз OpenSSH версии 10.1 — открытой реализации клиента и сервера SSH 2.0 и SFTP. В данной версии разработчики сосредоточились на устранении проблем безопасности и улучшении функциональности.
Важным нововведение стало устранение уязвимости, позволяющей злоумышленнику подставлять shell-команды через манипуляции со специальными символами в имени пользователя или URI при использовании опции ProxyCommand с подстановкой %u. Чтобы предотвратить подобные атаки, в OpenSSH 10.1 запрещено использовать управляющие символы в именах пользователей и URI, кроме тех, что явно указаны в доверенном файле конфигурации.
Кроме того, в утилиты ssh и ssh-agent введена поддержка работы с ключами ed25519, хранящимися в PKCS#11 токенах, что расширяет возможности безопасного хранения криптографических ключей.
Добавлена новая настройка RefuseConnection в конфигурационном файле ssh_config, которая позволяет принудительно завершать процесс с ошибкой без установления соединения — полезно для администраторов при организации контроля доступа.
Для улучшения диагностики в ssh и sshd реализована обработка сигнала SIGINFO, позволяющая выводить информацию о текущем сеансе и активных каналах в лог. В sshd также расширены логируемые данные при отклонении аутентификации по сертификату, теперь в лог добавляется подробная информация о причине отказа и самом сертификате. Дополнительно введена проверка номера дисплея X11 с учетом смещения, заданного директивой X11DisplayOffset.
В рамках повышения качества кода и тестирования в набор unit-тестов вошли инструменты для оценки производительности, которые можно активировать специальными флагами при сборке.
Некоторые изменения могут повлиять на обратную совместимость. Так, при установлении соединения ssh теперь выводит предупреждение о неустойчивых к квантовому взлому алгоритмах согласования ключей с возможностью отключения предупреждения через опцию WarnWeakCrypto. Также изменена по умолчанию обработка параметров качества обслуживания DSCP (IPQoS): для интерактивного трафика выбран класс EF, оптимизированный для приоритетной передачи в беспроводных сетях.
В системе ssh-add теперь при добавлении сертификата в ssh-agent автоматически устанавливается время жизни сертификата с запасом в 5 минут для автоматического удаления устаревших ключей. Эта функция может быть отключена опцией -N. В этой версии также удалена экспериментальная поддержка ключей XMSS.
Изменено расположение unix-сокетов ssh-agent и sshd — вместо /tmp теперь они создаются в директории ~/.ssh/agent, что повышает безопасность за счет ограничения доступа из изолированных процессов.
OpenSSH 10.1 продолжает развиваться как надежный инструмент для безопасного удаленного доступа, сочетая в себе современные методы криптозащиты с практическими улучшениями безопасности и удобства эксплуатации.
