0
OpenSSH Server v10.0 - Mögliche Inkompatibilitäten mit Clients oder SSH-Bibliotheken
Das OpenSSH Team hat vor einigen Tagen Version 10.0 des OpenSSH Servers veröffentlicht.
Diese Version bringt eine Änderung an den Standard-Ciphern bei der Schlüsselaushandlung mit sich und könnte zu Inkompatiblitäten mit Clients führen. Damit ihr darauf vorbereitet seid, hier eine kleine Information dazu.
Hauptsächlich wurden die Methoden beginnend mit "diffie-hellman-group*" und "diffie-hellman-group-exchange-*" Methoden aus dem Standard-Schlüsselsatz entfernt.
Der Standard-Satz für den Schlüsselaustausch lautet beim Server nun
Solltet ihr also Probleme mit manch einem Client bekommen welcher nur veraltete Schlüssel-Methoden unterstützt, dann checkt eure Serverlogs. Dort sollten dann Log-Einträge ähnlich wie
auftauchen.
Ich selbst hatte das Problem bspw. mit der Android App Solid Explorer File Manager und einem akuellen OpenSSH Server.
Um als temporären Workaround solchen Clients weiterhin den Zugriff zu gewähren bis es ein Update für diesen gibt, lässt sich eine vom Client supportete Schlüsselaustausch-Methode zum Standard-Satz der angebotenen Methoden für den Schlüsselaustausch des Servers in der sshd_config hinzufügen :
Eine Liste der auf eurem System verfügbaren Methoden könnt ihr mittels
abfragen.
Das detaillierte Changelog findet ihr hier
https://www.openssh.com/txt/release-10.0
Diese Version bringt eine Änderung an den Standard-Ciphern bei der Schlüsselaushandlung mit sich und könnte zu Inkompatiblitäten mit Clients führen. Damit ihr darauf vorbereitet seid, hier eine kleine Information dazu.
Hauptsächlich wurden die Methoden beginnend mit "diffie-hellman-group*" und "diffie-hellman-group-exchange-*" Methoden aus dem Standard-Schlüsselsatz entfernt.
diffie-hellman-group1-sha1
diffie-hellman-group14-sha1
diffie-hellman-group14-sha256
diffie-hellman-group16-sha512
diffie-hellman-group18-sha512
diffie-hellman-group-exchange-sha1
diffie-hellman-group-exchange-sha256Der Standard-Satz für den Schlüsselaustausch lautet beim Server nun
mlkem768x25519-sha256
sntrup761x25519-sha512
sntrup761x25519-sha512@openssh.com
curve25519-sha256
curve25519-sha256@libssh.org
ecdh-sha2-nistp256
ecdh-sha2-nistp384
ecdh-sha2-nistp521Solltet ihr also Probleme mit manch einem Client bekommen welcher nur veraltete Schlüssel-Methoden unterstützt, dann checkt eure Serverlogs. Dort sollten dann Log-Einträge ähnlich wie
Unable to negotiate with X.X.X.X port XXXX : no matching key exchange method found. Their offer: diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group14-sha256,diffie-hellman-group1-sha1 [preauth]Ich selbst hatte das Problem bspw. mit der Android App Solid Explorer File Manager und einem akuellen OpenSSH Server.
Workaround
Um als temporären Workaround solchen Clients weiterhin den Zugriff zu gewähren bis es ein Update für diesen gibt, lässt sich eine vom Client supportete Schlüsselaustausch-Methode zum Standard-Satz der angebotenen Methoden für den Schlüsselaustausch des Servers in der sshd_config hinzufügen :
KexAlgorithms +diffie-hellman-group14-sha256Eine Liste der auf eurem System verfügbaren Methoden könnt ihr mittels
ssh -Q KexAlgorithmsabfragen.
Das detaillierte Changelog findet ihr hier
https://www.openssh.com/txt/release-10.0
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 672610
Url: https://administrator.de/info/openssh-server-v10-0-moegliche-inkompatibilitaeten-mit-clients-oder-ssh-bibliotheken-672610.html
Ausgedruckt am: 24.04.2025 um 23:04 Uhr
