OpenSSH 10.4 fue lanzado el 6 de julio de 2026 y ya está disponible a través de los espejos del proyecto. La actualización suma correcciones de seguridad, ajustes de endurecimiento y soporte experimental para firmas compuestas postcuánticas.
Más seguridad en sftp, scp, sshd y ssh
La nueva edición repara fallas en sftp(1), scp(1), sshd(8) y ssh(1). También endurece el transporte SSH frente a comportamientos maliciosos durante el reintercambio de claves.
Entre los problemas corregidos, un servidor malicioso podía provocar que un archivo descargado con sftp terminara en una ubicación inesperada. En scp, la copia entre dos destinos remotos ya no permite escribir archivos en el directorio padre del destino previsto.
En sshd(8) también se corrigió un problema ligado a internal-sftp, que truncaba silenciosamente líneas de comando largas después del noveno argumento. Además, se ajustó un caso en el que DisableForwarding=yes no sobrescribía PermitTunnel=yes como debía hacerlo.
La versión también corrige varios casos en los que no se aplicaba el retraso mínimo de autenticación, así como una posible denegación de servicio previa a la autenticación cuando GSSAPIAuthentication estaba habilitado.
Firmas postcuánticas y cambios que pueden romper compatibilidad
La novedad más llamativa es el soporte experimental para un esquema de firma compuesto postcuántico que combina ML-DSA 44 y Ed25519. El proyecto aclaró que no viene activado por defecto y que debe habilitarse manualmente en parámetros como HostKeyAlgorithms y PubkeyAcceptedAlgorithms.
También hay cambios potencialmente incompatibles. En sshd(8), el comando “sshd -G” ahora emite las directivas respetando mayúsculas y minúsculas, lo que puede afectar scripts o herramientas que comparan la salida de forma exacta.
En sistemas Linux con sandbox seccomp habilitado, los fallos al activar SECCOMP o NO_NEW_PRIVS ahora son fatales para sshd(8). Antes solo quedaban registrados en los logs.
La versión 10.4 también vuelve más estricto el protocolo de transporte: si un par envía mensajes que no pertenecen a KEX durante un reintercambio de claves posterior a la autenticación, la conexión será desconectada.
Refuerzo interno y mejoras de portabilidad
OpenSSH 10.4 incluye además una refactorización del análisis y manejo de sshd_config para permitir una serialización y deserialización más precisa entre límites de separación de privilegios. Según el proyecto, eso robustece el servidor frente a ataques sobre sshd-auth o sshd-session.
En el plano criptográfico, se corrigieron verificaciones de límites al firmar mensajes, además de comprobaciones de maleabilidad de firma y validez de clave pública para Ed25519. También se ajustó la verificación del orden de ECDSA para curvas con cofactor distinto de 1.
El anuncio fue acompañado por un mensaje público en la red X:
La actualización suma otros arreglos en ssh-agent(1), ssh-keygen(1), ssh-add(1), sftp-server(8) y sftp(1), entre ellos correcciones de lecturas fuera de límites, errores de procesamiento y mejoras para evitar bucles con servidores defectuosos.
