OpenSSH 10.4 llega con múltiples parches de seguridad y soporte experimental para firmas post-cuánticas

Fuentes: OpenSSH 10.4 released with security fixes and experimental post-quantum signatures

El proyecto OpenSSH publicó el 6 de julio de 2026 la versión 10.4 de su implementación del protocolo SSH 2.0, disponible en los mirrors oficiales de openssh.com. La actualización incorpora varios parches de seguridad detectados por equipos externos como Swival Security Scanner, Red Hat, Depthfirst, Orange Cyberdefense y el milCERT AT del Ministerio de Defensa austríaco, además del equipo del proyecto OpenBSD.

Entre los fallos corregidos destacan una vulnerabilidad en el cliente sftp que permitía a un servidor malicioso redirigir el archivo descargado a una ruta inesperada y otra en scp que posibilitaba escribir ficheros fuera del directorio destino al copiar entre dos servidores remotos. En el servidor sshd se solucionó un truncado silencioso de la línea de comandos del subsistema internal-sftp a partir del noveno argumento, lo que podía descartar opciones sensibles en posiciones posteriores, así como varios casos en los que no se aplicaba el retardo mínimo de autenticación.

Como novedad principal, OpenSSH 10.4 añade soporte experimental para un esquema de firma post-cuántica compuesto por ML-DSA 44 y Ed25519, basado en el borrador draft-miller-sshm-mldsa44-ed25519-composite-sigs. La función no está activa por defecto y requiere generar claves con "ssh-keygen -t mldsa44-ed25519". También se sustituye el motor de patrones con comodines por uno basado en un autómata finito no determinista, que elimina el peor caso exponencial del algoritmo anterior.

La versión introduce además cambios incompatibles: el modo "sshd -G" emite ahora directivas en mayúsculas y minúsculas, los fallos de SECCOMP o NO_NEW_PRIVS son fatales en el sandbox de Linux y el transporte desconecta a los pares que envíen mensajes fuera del intercambio de claves. La lista completa de correcciones y mejoras está publicada en las notas oficiales del proyecto.