… a sua implementação do protocolo SSH (e SFTP), tornando-a mais segura não só em vista das correções proporcionadas, mas também por trazer novos recursos! Infelizmente, existe uma correlação negativa entre a segurança e a facilidade de uso, no que concerne as aplicações que usamos no dia-a-dia: quanto melhor for a segurança, pior será a usabilidade (e vice-versa). O mesmo vale para os serviços essenciais de infraestruturas, os quais quanto mais seguro são, mais difíceis se tornam de implementar e configurar. Este, (talvez) seja o caso do SSH…
“The OpenSSH project released version 10.4, also tagged 10.4p1, on July 6, 2026, introducing stricter transport protocol enforcement along with configuration changes that administrators should review before upgrading production systems. The release is available from the official mirror and continues OpenSSH’s position as a complete implementation of SSH protocol 2.0, including full SFTP client and server support.”
— by Cyber Press.
O projeto OpenSSH lançou a versão 10.4 (também identificada como 10.4p1), trazendo melhorias significativas na aplicação de protocolos de transporte e mudanças estruturais na configuração. A atualização visa consolidar a segurança da ferramenta, que atua como uma implementação completa do protocolo SSH 2.0 e oferece suporte integral para clientes e servidores SFTP. Em vista disto, os administradores de sistemas deverão realizar a revisar cuidadosa destas alterações, antes de aplicar a nova versão em ambientes de produção.
A mudança mais relevante desta atualização está na correção de uma vulnerabilidade estrutural no manuseio da troca de chaves pós-autenticação nos componentes ssh(1) e sshd(8). Anteriormente, a ausência de restrições rígidas permitia que um usuário malicioso enviasse mensagens não relacionadas ao processo de troca de chaves. Essas informações eram retidas em um buffer, abrindo espaço para o consumo excessivo de memória do sistema receptor, configurando um vetor para ataques de negação de serviço (DoS) por esgotamento de recursos.
Para mitigar esse risco, a nova versão implementa uma conformidade rigorosa com a seção 7.1 da norma RFC 4253. A partir de agora, tanto o cliente quanto o servidor desconectam imediatamente qualquer ponto que envie dados inadequados durante o evento de readequação de chaves. Implementações de terceiros que violarem essa padronização passarão a enfrentar desconexões inesperadas, exigindo uma auditoria por parte das equipes de segurança para garantir a total compatibilidade com as regras atuais promovidas pela nova versão do OpenSSH.
Outra modificação técnica importante envolve o modo de despejo de configuração, através do comando sshd -G. Ele passou a exibir as diretivas utilizando letras maiúsculas e minúsculas misturadas (como “PubkeyAuthentication”) em vez do padrão totalmente em minúsculas utilizado anteriormente. Essa alteração estética e estrutural irá exigir uma atenção imediata, pois pode quebrar o funcionamento de scripts antigos e de ferramentas de automação, que dependem da filtragem exata de textos para gerenciar as configurações.
Por fim, o sistema de isolamento de processos (seccomp) em ambientes Linux terá um tratamento mais “duro”: qualquer falha ao ativar os recursos SECCOMP ou NO_NEW_PRIVS, irá resultar em um erro fatal que interrompe a execução do daemon, eliminando o comportamento anterior que apenas registrava um aviso e continuava operando. Sistemas operacionais antigos ou ambientes de contêineres que carecem dessas funcionalidades do kernel precisarão desabilitar explicitamente o sandbox durante a etapa de compilação, para evitar paradas inesperadas do serviço.
Foi-se o tempo em que instalar, configurar e usar o SSH, era algo simples… &;-D