Новости
WinRAR 7.23 закрыл опасную уязвимость в архивах
2 июля 2026 вышел WinRAR 7.23: устранено heap-переполнение в томах восстановления RAR5 и усилена защита от подмены путей.
Разработчики OpenSSH выпустили версию 10.4 — сервисный релиз с упором на безопасность. Среди восьми исправлений — уязвимости в клиентах sftp и scp, из-за которых вредоносный сервер мог заставить вашу программу сохранить скачиваемые файлы не туда, куда вы рассчитывали. Обновление касается всех, кто передаёт файлы по SSH — от системных администраторов до обычных пользователей SFTP-клиентов.

Коротко: 6 июля 2026 вышел OpenSSH 10.4 с восемью исправлениями безопасности. Ключевые — в передаче файлов: в sftp вредоносный сервер мог увести скачивание вида sftp host:/path . в неожиданное место на диске клиента, а в scp при копировании между двумя удалёнными хостами — записать файлы в родительский каталог вместо целевого. Также добавлена экспериментальная постквантовая подпись. Обновитесь до 10.4.
6 июля 2026 года проект OpenSSH из состава OpenBSD выпустил новую версию — OpenSSH 10.4. Это релиз с упором на безопасность: в нём закрыты восемь проблем в клиенте, сервере, а также в утилитах sftp, scp и агенте ключей ssh-agent. Дополнительно добавлены исправления ошибок и пара новых возможностей.
OpenSSH — это де-факто стандартная реализация протокола SSH: она встроена в Linux, macOS, BSD и поставляется с Windows. Через её утилиты sftp и scp ежедневно передаются файлы между компьютерами и серверами, поэтому даже «тихий» набор заплаток здесь важен для всех, кто регулярно выгружает и скачивает данные по защищённому каналу.
Самое интересное для тех, кто передаёт файлы, — две уязвимости, где угрозу представляет сам удалённый сервер, а не сеть. Обе связаны с тем, куда в итоге попадают файлы на стороне клиента.
sftp host:/path . в неожиданное место на машине клиента. То есть вы запрашиваете файл «в текущую папку», а он оказывается там, где выгодно атакующему.Подмена пути записи — классический вектор атаки: подложив файл в неожиданный каталог, злоумышленник может, например, перезаписать конфигурацию или подсунуть исполняемый файл в место, откуда он запустится. Здесь достаточно, чтобы жертва подключилась к скомпрометированному или изначально вредоносному серверу и запустила привычную команду скачивания.
Ещё одна серверная проблема касалась встроенного режима internal-sftp: в длинных командных строках он молча отбрасывал аргументы после девятого. На практике это означало, что значимая с точки зрения безопасности настройка, поставленная в конце строки, могла быть незаметно проигнорирована.
Помимо файловых утилит, OpenSSH 10.4 усилил криптографию и вспомогательные компоненты:
ssh-agent. Агент ключей теперь ограничивает длину имён пользователей в ограничениях на использование ключа — это защищает от отказа в обслуживании во время работы.ssh при повторном обмене ключами.Главная новая функция — экспериментальная поддержка составной постквантовой подписи, объединяющей алгоритмы ML-DSA 44 и Ed25519. По умолчанию она выключена; включить её можно вручную, сгенерировав ключ командой ssh-keygen -t mldsa44-ed25519. Цель — заранее подготовить аутентификацию к эпохе квантовых компьютеров.
Главный вывод простой: инструменты передачи файлов нужно обновлять так же дисциплинированно, как браузер или архиватор. SFTP и SCP многие воспринимают как «защищённые по определению» — ведь трафик шифруется. Но релиз 10.4 напоминает: шифрование канала не гарантирует, что удалённая сторона честна. Если сервер скомпрометирован, уязвимость клиента способна привести к записи файла не туда, куда вы ожидали.
Особенно это касается тех, кто автоматизирует выгрузку и скачивание в скриптах и на серверах, а также команд, которые регулярно обмениваются данными по SSH. Если вы выстраиваете процесс обмена файлами в коллективе, полезно свериться с нашим разбором способов передачи больших файлов в команде, а общие правила безопасной работы с загрузками собраны в разделе безопасность файлов. К слову, это уже не первая за месяц файловая заплатка: ранее мы разбирали выход WinRAR 7.23, тоже закрывшего проблему с подменой путей — на этот раз внутри архивов.
ssh -V в терминале. Если это OpenSSH младше 10.4 — запланируйте обновление.Обновление бесплатное и не меняет привычную работу с ssh, sftp и scp — это негромкая, но важная заплатка, закрывающая сразу несколько векторов атаки при передаче файлов.