Новости · Безопасность файлов

Вышел OpenSSH 10.4: восемь заплаток безопасности и защита от подмены путей в SFTP и SCP

Разработчики OpenSSH выпустили версию 10.4 — сервисный релиз с упором на безопасность. Среди восьми исправлений — уязвимости в клиентах sftp и scp, из-за которых вредоносный сервер мог заставить вашу программу сохранить скачиваемые файлы не туда, куда вы рассчитывали. Обновление касается всех, кто передаёт файлы по SSH — от системных администраторов до обычных пользователей SFTP-клиентов.

14 июля 2026 Редакция LoadFile Чтение 5 мин
Голубой замок над потоком зашифрованных данных между двумя серверами — релиз безопасности OpenSSH 10.4

Коротко: 6 июля 2026 вышел OpenSSH 10.4 с восемью исправлениями безопасности. Ключевые — в передаче файлов: в sftp вредоносный сервер мог увести скачивание вида sftp host:/path . в неожиданное место на диске клиента, а в scp при копировании между двумя удалёнными хостами — записать файлы в родительский каталог вместо целевого. Также добавлена экспериментальная постквантовая подпись. Обновитесь до 10.4.

Содержание
  1. Что произошло?
  2. Уязвимости в SFTP и SCP: как это работает
  3. Остальные исправления и постквантовая подпись
  4. Что это значит для передачи файлов
  5. Что делать прямо сейчас
  6. Источники

Что произошло?

6 июля 2026 года проект OpenSSH из состава OpenBSD выпустил новую версию — OpenSSH 10.4. Это релиз с упором на безопасность: в нём закрыты восемь проблем в клиенте, сервере, а также в утилитах sftp, scp и агенте ключей ssh-agent. Дополнительно добавлены исправления ошибок и пара новых возможностей.

OpenSSH — это де-факто стандартная реализация протокола SSH: она встроена в Linux, macOS, BSD и поставляется с Windows. Через её утилиты sftp и scp ежедневно передаются файлы между компьютерами и серверами, поэтому даже «тихий» набор заплаток здесь важен для всех, кто регулярно выгружает и скачивает данные по защищённому каналу.

Уязвимости в SFTP и SCP: как это работает

Самое интересное для тех, кто передаёт файлы, — две уязвимости, где угрозу представляет сам удалённый сервер, а не сеть. Обе связаны с тем, куда в итоге попадают файлы на стороне клиента.

  • SFTP — скачивание не в тот каталог. Вредоносный сервер мог увести команду вида sftp host:/path . в неожиданное место на машине клиента. То есть вы запрашиваете файл «в текущую папку», а он оказывается там, где выгодно атакующему.
  • SCP — запись в родительский каталог. При копировании файлов между двумя удалёнными хостами вредоносный сервер мог записать данные в родительский каталог целевой директории, а не строго внутрь неё.
!
Почему это опасно

Подмена пути записи — классический вектор атаки: подложив файл в неожиданный каталог, злоумышленник может, например, перезаписать конфигурацию или подсунуть исполняемый файл в место, откуда он запустится. Здесь достаточно, чтобы жертва подключилась к скомпрометированному или изначально вредоносному серверу и запустила привычную команду скачивания.

Ещё одна серверная проблема касалась встроенного режима internal-sftp: в длинных командных строках он молча отбрасывал аргументы после девятого. На практике это означало, что значимая с точки зрения безопасности настройка, поставленная в конце строки, могла быть незаметно проигнорирована.

Остальные исправления и постквантовая подпись

Помимо файловых утилит, OpenSSH 10.4 усилил криптографию и вспомогательные компоненты:

  • Проверки для Ed25519. В код проверки подписей добавлены защиты от «податливости» подписи (signature malleability) и проверки корректности открытого ключа при верификации ed25519.
  • Защита ssh-agent. Агент ключей теперь ограничивает длину имён пользователей в ограничениях на использование ключа — это защищает от отказа в обслуживании во время работы.
  • Клиентские правки. В числе исправлений — устранение обращения к освобождённой памяти (use-after-free) в клиенте ssh при повторном обмене ключами.
💡
Заглядывая вперёд: постквантовая подпись

Главная новая функция — экспериментальная поддержка составной постквантовой подписи, объединяющей алгоритмы ML-DSA 44 и Ed25519. По умолчанию она выключена; включить её можно вручную, сгенерировав ключ командой ssh-keygen -t mldsa44-ed25519. Цель — заранее подготовить аутентификацию к эпохе квантовых компьютеров.

Что это значит для передачи файлов

Главный вывод простой: инструменты передачи файлов нужно обновлять так же дисциплинированно, как браузер или архиватор. SFTP и SCP многие воспринимают как «защищённые по определению» — ведь трафик шифруется. Но релиз 10.4 напоминает: шифрование канала не гарантирует, что удалённая сторона честна. Если сервер скомпрометирован, уязвимость клиента способна привести к записи файла не туда, куда вы ожидали.

Особенно это касается тех, кто автоматизирует выгрузку и скачивание в скриптах и на серверах, а также команд, которые регулярно обмениваются данными по SSH. Если вы выстраиваете процесс обмена файлами в коллективе, полезно свериться с нашим разбором способов передачи больших файлов в команде, а общие правила безопасной работы с загрузками собраны в разделе безопасность файлов. К слову, это уже не первая за месяц файловая заплатка: ранее мы разбирали выход WinRAR 7.23, тоже закрывшего проблему с подменой путей — на этот раз внутри архивов.

Что делать прямо сейчас

  1. Проверьте версию: выполните ssh -V в терминале. Если это OpenSSH младше 10.4 — запланируйте обновление.
  2. На Linux и macOS обновляйте OpenSSH штатным пакетным менеджером дистрибутива (или через актуальные обновления системы), а не сборками с посторонних сайтов.
  3. Будьте осторожны с подключениями к незнакомым или недоверенным SSH-серверам: обе главные уязвимости требуют, чтобы вредоносной была именно удалённая сторона.
  4. Администраторам стоит учесть три потенциально ломающих изменения в конфигурации из списка изменений и проверить совместимость до развёртывания 10.4 на боевых серверах.

Обновление бесплатное и не меняет привычную работу с ssh, sftp и scp — это негромкая, но важная заплатка, закрывающая сразу несколько векторов атаки при передаче файлов.

Источники

Читайте также