Jeśli zarządzasz serwerem linuksowym albo regularnie łączysz się przez SSH — OpenSSH 10.3 z 2 kwietnia jest aktualizacją którą warto zainstalować, a nie odkładać. Naprawia realną podatność i wprowadza kilka zmian które mogą wpłynąć na istniejące konfiguracje.
Główna luka bezpieczeństwa dotyczy shell injection w opcji -J (ProxyJump). Nazwy użytkowników i hostów przekazywane przez linię komend nie były walidowane na czas, co w specyficznych konfiguracjach — szczególnie tych używających tokenu %u w blokach Match exec — pozwalało atakującemu kontrolującemu nazwę użytkownika na wykonanie dowolnych poleceń shell. Cyber Security News
Drugie istotne poprawiono błąd w dopasowywaniu principals w certyfikatach — certyfikat z pustą sekcją principals był wcześniej traktowany jak wildcard pasujący do każdego użytkownika. CA które przez pomyłkę wystawiło taki certyfikat nieświadomie dawało dostęp do wszystkich kont które mu ufały. Teraz pusty principals nie pasuje do nikogo. Help Net Security
Ważna zmiana która może coś zepsuć: OpenSSH 10.3 usuwa wsteczną kompatybilność z implementacjami SSH które nie obsługują rekeying. Jeśli gdzieś w infrastrukturze używasz bardzo starego klienta lub serwera SSH który nie wspiera renegocjacji kluczy sesji — połączenia zaczną się sypać po aktualizacji. Help Net Security Dotyczy to głównie przestarzałego sprzętu sieciowego, wbudowanych systemów i bardzo starych wersji PuTTY.
Co nowego oprócz poprawek? Serwer SSH dostał mechanizm automatycznego karania prób logowania z nieistniejącymi nazwami użytkownikami — domyślnie 5 sekund opóźnienia na każdą próbę, co skutecznie spowalnia ataki słownikowe botów. Obsługiwane są teraz ułamkowe wartości czasu kar, czyli poniżej jednej sekundy dla środowisk wysokiej częstotliwości. Cyber Press
Dla użytkowników domowych Linuksa: aktualizacja przyjdzie automatycznie przez menedżer pakietów dystybucji w ciągu dni lub tygodni. Dla administratorów serwerów — warto zaktualizować ręcznie i sprawdzić czy stara infrastruktura SSH obsługuje rekeying zanim nowa wersja trafi na produkcję.
