Po třech měsících od předchozího vydání je tu OpenSSH 10.4. Kromě obvyklých oprav zabezpečení a chyb obsahuje i několik významných změn. Přidává například experimentální podporu pro kompozitní postkvantové schéma podpisů kombinující ML-DSA 44 a Ed25519, jak je popsáno v pracovní verzi návrhu standardu v IETF.
Tento algoritmus není ve výchozím nastavení povolen. Chcete-li jej použít, musíte jej přidat do HostKeyAlgorithms, PubkeyAcceptedAlgorithms a dalších souvisejících voleb. Klíče lze vygenerovat příkazem ssh-keygen -t mldsa44-ed25519.
Nová verze zpřísňuje pravidla transportního protokolu tím, že přeruší spojení, pokud protistrana během výměny klíčů po ověření odešle zprávy, které neslouží k výměně klíčů. Dříve mohl útočník bez jakýchkoli následků pokračovat v odesílání zpráv nesouvisejících s výměnou klíčů. Tyto zprávy se ukládaly do vyrovnávací paměti, což mohlo vést k plnění paměti až do ukončení připojení nebo do okamžiku, kdy server či klient dosáhl stanoveného limitu. Implementace klientů, které neomezují zprávy odesílané během výměny klíčů v souladu s RFC 4253, mohou být nyní odpojeny.
Pozor na to, že pokud je tato verze zkompilována s podporou sandboxu, dojde k jejímu selhání na linuxových systémech, kde není povolen SECCOMP nebo NO_NEW_PRIVS. V předchozích verzíchbyla jen zalogována chyba, ale démon pokračoval v provozu.
Úplný seznam změn naleznete v podrobných poznámkách k vydání.