OpenSSH 10.4: correzioni di sicurezza e supporto sperimentale per la crittografia post-quantum

OpenSSH 10.4: correzioni di sicurezza e supporto sperimentale per la crittografia post-quantum

OpenSSH è una suite di strumenti open source progettata per implementare il protocollo SSH, acronimo di Secure Shell, una tecnologia che permette la gestione sicura di sistemi remoti tramite connessioni crittografate. Sviluppata e mantenuta dal progetto OpenBSD, questa suite è diventata uno standard fondamentale per l’accesso remoto su sistemi GNU/Linux, macOS, Windows e molte altre piattaforme. Al suo interno include sia il client sia il server SSH, il servizio SFTP, ovvero il Secure File Transfer Protocol per il trasferimento sicuro dei file, oltre a strumenti dedicati alla gestione delle chiavi crittografiche, offrendo così un ambiente completo per amministratori di sistema, sviluppatori e utenti che necessitano di comunicazioni affidabili e protette.

La storia di OpenSSH ha inizio nel 1999, quando venne creato come fork di OSSH, derivato dall’ultima versione a sorgente aperto di SSH 1.2.12. Da quel momento il progetto ha continuato a evolversi fino a diventare un componente predefinito in numerose distribuzioni GNU/Linux, grazie alla sua stabilità, sicurezza e compatibilità con gli standard aperti. A partire da Windows 10 build 1809 e Windows Server 2019, OpenSSH è disponibile anche come funzionalità opzionale su Windows, ampliando ulteriormente la sua diffusione. La licenza BSD con cui è distribuito consente un utilizzo libero, inclusa la modifica e la ridistribuzione, purché vengano rispettate le condizioni originali, rendendolo particolarmente adatto a contesti professionali e infrastrutture complesse.

Uno dei punti di forza di OpenSSH è la sua ampia compatibilità multipiattaforma. Oltre alle distribuzioni GNU/Linux, il progetto supporta macOS, Windows, i sistemi BSD, Solaris e molte altre varianti Unix-like. Questa versatilità, unita alla capacità di integrarsi in ambienti eterogenei e alla disponibilità nei principali repository software, lo rende uno strumento essenziale per la gestione di infrastrutture IT moderne. La possibilità di configurare server e client, automatizzare procedure, proteggere l’accesso remoto e trasferire file in modo sicuro contribuisce a consolidare OpenSSH come una delle tecnologie più affidabili nel panorama della sicurezza informatica.

La nuova versione OpenSSH 10.4 è stata rilasciata il 6 luglio 2026, mentre la precedente versione stabile, OpenSSH 10.3, risale al 2 aprile 2026.

Novità in OpenSSH 10.4

OpenSSH 10.4 introduce una serie di correzioni di sicurezza critiche e miglioramenti funzionali che rafforzano la robustezza del protocollo e l’affidabilità dell’applicazione. Di seguito, le novità principali, organizzate per ambiti di intervento.

Correzioni di sicurezza in SFTP, SCP e sshd

Una delle vulnerabilità più rilevanti riguarda il client SFTP (SSH File Transfer Protocol), dove un server malintenzionato poteva indurre il download di file in cartelle non intenzionali quando l’utente utilizzava comandi come sftp host:/path .. Questo comportamento, sfruttando una gestione errata dei percorsi, è stato corretto per garantire che i file vengano sempre salvati nella cartella di destinazione specificata dall’utente.

Un problema simile è stato risolto anche in SCP (Secure Copy Protocol). In questo caso, OpenSSH ora impedisce a un server malintenzionato di scrivere file nella cartella genitore di quella di destinazione quando si copiano file tra due posizioni remote. Questo aggiornamento evita che un attacco possa sovrascrivere file sensibili al di fuori del percorso atteso.

Per quanto riguarda il server sshd, è stata corretta una vulnerabilità nell’implementazione interna di SFTP (non quella predefinita). In passato, i comandi con un numero elevato di argomenti venivano troncati silenciosamente dopo il nono parametro. Questo comportamento poteva avere implicazioni di sicurezza se un’opzione importante, come un flag di autenticazione, fosse posizionata oltre il nono argomento e quindi ignorata. Ora, sshd gestisce correttamente tutti gli argomenti, indipendentemente dalla loro posizione.

Un’altra correzione riguarda un potenziale attacco Denial-of-Service (DoS) pre-autenticazione in sshd quando l’opzione GSSAPIAuthentication è abilitata. Sebbene questa funzionalità sia disabilitata per impostazione predefinita, la patch è fondamentale per gli ambienti che utilizzano l’autenticazione basata su GSSAPI (Generic Security Service Application Program Interface), un framework per l’autenticazione sicura in reti distribuite.

Inoltre, OpenSSH 10.4 risolve diversi casi in cui sshd non applicava correttamente il ritardo minimo di autenticazione, una misura di sicurezza che limita la velocità con cui un aggressore può testare password o chiavi. Questo ritardo, ora sempre rispettato, aiuta a mitigare gli attacchi a forza bruta.

Infine, è stato corretto un potenziale use-after-free lato client in ssh, un tipo di vulnerabilità che si verifica quando un programma continua a utilizzare un puntatore a memoria già liberata. Questo problema poteva manifestarsi se un server modificava la propria chiave host durante uno scambio di chiavi.

Rafforzamento del protocollo SSH

OpenSSH 10.4 introduce un comportamento più restrittivo nel protocollo di trasporto SSH. Ora, sia il client ssh che il server sshd interrompono la connessione con i peer che inviano messaggi non legati allo scambio di chiavi durante la fase di ri-scambio delle chiavi post-autenticazione. In precedenza, questi messaggi potevano essere inviati senza conseguenze, portando a un consumo eccessivo di memoria. È importante notare che implementazioni SSH non conformi che non limitano i messaggi durante lo scambio di chiavi potrebbero ora essere disconnesse.

Modifiche potenzialmente incompatibili

Questa versione include alcune modifiche che potrebbero influenzare gli script e gli strumenti di automazione esistenti. In particolare, il comando sshd -G, che visualizza la configurazione efficace del server, ora stampa i nomi delle direttive in maiuscolo e minuscolo (ad esempio, PubkeyAuthentication) invece di utilizzare solo caratteri minuscoli. Questo cambiamento potrebbe richiedere aggiornamenti agli script che analizzano l’output del comando.

Un’altra modifica rilevante riguarda i sistemi GNU/Linux che utilizzano il sandbox seccomp. In passato, se l’attivazione di SECCOMP (un meccanismo di sicurezza del kernel Linux per limitare le chiamate di sistema) o NO_NEW_PRIVS (una flag che impedisce a un processo di acquisire nuovi privilegi) falliva, sshd registrava l’errore e continuava a funzionare. Ora, questi fallimenti sono considerati fatali, e sshd terminerà l’esecuzione se non è possibile attivare il sandbox. Gli amministratori di sistemi che non supportano queste funzionalità dovranno disabilitare esplicitamente il sandbox durante la configurazione.

Supporto sperimentale per la crittografia post-quantum

Una delle novità più interessanti di OpenSSH 10.4 è il supporto sperimentale per un schema di firma post-quantum composito che combina ML-DSA 44 e Ed25519. Questo approccio ibrido mira a proteggere le connessioni SSH anche contro gli attacchi di un eventuale computer quantistico, che potrebbe decifrare le comunicazioni cifrate con algoritmi tradizionali. Tuttavia, questa funzionalità non è abilitata per impostazione predefinita e gli utenti che desiderano testarla devono aggiungerla esplicitamente alle opzioni come HostKeyAlgorithms o PubkeyAcceptedAlgorithms.

OpenSSH ha già adottato la crittografia ibrida post-quantum per lo scambio di chiavi a partire dalla versione 10.0, ma il supporto per le firme rappresenta un ulteriore passo avanti nella preparazione a un futuro in cui i computer quantistici potrebbero rendere obsoleti gli attuali standard di sicurezza.

Miglioramenti delle prestazioni e correzioni di bug

Oltre alle correzioni di sicurezza, OpenSSH 10.4 introduce diversi miglioramenti tecnici. Tra questi, spicca la sostituzione del motore di corrispondenza dei pattern wildcard con un’implementazione basata su automi finiti non deterministici, che evita il comportamento peggiore esponenziale del sistema precedente. Questo cambiamento migliora l’efficienza e la stabilità dell’applicazione, soprattutto in scenari con configurazioni complesse.

Il changelog (registro delle modifiche) completo include anche:

  • Correzioni per le query di estensione di ssh-agent.
  • Miglioramenti nella gestione delle chiavi FIDO residenti non supportate.
  • Validazione più stringente dello stato di trasporto tra i sottoprocessi di separazione dei privilegi di sshd.
  • Correzioni per letture fuori dai limiti in sftp.
  • Gestione migliore di elenchi di cifrari o MAC (Message Authentication Code) non validi nei file di configurazione.
  • Risoluzione di crash, perdite di memoria e problemi di parsing della configurazione.
  • Aggiornamenti per la gestione dei canali X11, delle chiavi host PKCS#11 e per la portabilità su diverse piattaforme.

Download e Riferimenti

OpenSSH 10.4 ha una variante appositamente ottimizzata per essere compilata, installata ed eseguita su sistemi operativi diversi da OpenBSD, il sistema nativo per cui OpenSSH è stato inizialmente sviluppato, contraddistinta dalla presenza di una p nel seriale: OpenSSH 10.4p1. Mentre la versione originale, OpenSSH 10.4, è strettamente integrata con OpenBSD, quella portabile, OpenSSH 10.4p1, viene adattata per garantire il corretto funzionamento sui sistemi GNU/LinuxmacOS e altre distribuzioni BSD, dove le differenze a livello di kernel, librerie di sistema e strumenti di gestione potrebbero altrimenti causare incompatibilità o malfunzionamenti.

Questa versione portabile include correzioni di compatibilità specifiche per ciascuna piattaforma, come ad esempio:

  • Adeguamenti alle librerie di sistema (ad esempio, per la gestione della crittografia o delle connessioni di rete).
  • Supporto per chiamate di sistema (syscall) che possono variare tra i diversi sistemi operativi.
  • Ottimizzazioni per l’integrazione con gli ambienti grafici, come il nuovo strumento askpass per GNOME 40 e versioni successive, che semplifica l’inserimento delle password in interfacce grafiche, rendendo l’esperienza utente più intuitiva e accessibile.

Inoltre, la versione portabile è pensata per sistemi con architetture hardware diverse (ad esempio, 32-bit o 64-bit) e include miglioramenti per la gestione di funzionalità avanzate come PAM (Pluggable Authentication Modules) e seccomp (un meccanismo di sandboxing per limitare le azioni dei processi).

Grazie a queste modifiche, OpenSSH 10.4 può essere utilizzato in modo affidabile su una vasta gamma di sistemi, mantenendo tutte le sue funzionalità di sicurezza e prestazioni.

OpenSSH 10.4 è disponibile per il download dai repository software ufficiali e dai mirror elencati sul sito del progetto. Gli utenti possono scaricare i sorgenti e i pacchetti software precompilati per diverse piattaforme direttamente dalla pagina del sito web del progetto.

Per consultare il changelog (registro delle modifiche) completo e i dettagli tecnici, è possibile visitare la pagina ufficiale delle note di rilascio di OpenSSH.

L’annuncio ufficiale della versione OpenSSH 10.4 è disponibile su OpenBSD Journal.

Fonte: https://undeadly.org/cgi?action=article;sid=20260706190144
Fonte: https://www.openssh.org/releasenotes.html
Fonte: https://linuxiac.com/openssh-10-4-patches-multiple-security-issues-in-ssh-scp-and-sftp/

Visited 1 times, 1 visit(s) today
Se vuoi sostenermi, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che ho nel mio sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul mio negozio online, quelle mancanti possono essere comunque richieste.

Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!

Hai dubbi o problemi? Ti aiutiamo noi!

Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.
Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
Amazon Music
Scopri le ultime offerte per dischi ssd su Acquista su Amazon
Scopri le ultime offerte per memorie RAM DDR su Acquista su Amazon
Scopri le ultime offerte per Chromebook su Acquista su Amazon
Scopri le ultime offerte per Raspberry su Acquista su Amazon

Potrebbero interessarti anche...

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza Akismet per ridurre lo spam. Scopri come vengono elaborati i dati derivati dai commenti.