Ua ʻike ʻia kahi vulnerability (CVE-2-2) i loko o ka waihona libssh (ʻaʻole e huikau me libssh2021), i hoʻolālā ʻia e hoʻohui i ke kākoʻo o ka mea kūʻai aku a me ke kikowaena no ka protocol SSHv3634 i nā papahana C, e alakaʻi ana i kahi hoʻoheheʻe ʻana i ka wā e hoʻomaka ai ke kaʻina hana rekey. me ka hoʻohana ʻana i ka hoʻololi kī e hoʻohana ana i kahi algorithm hashing ʻē aʻe. Hoʻopaʻa ʻia ka pilikia ma ka hoʻokuʻu 0.9.6.
ʻO ke kumu o ka pilikia, ʻo ka hana hoʻololi kī e hiki ai i ka hoʻohana ʻana i nā hashes cryptographic me ka nui o ka hoʻolei ʻana i ʻokoʻa mai ka algorithm i hoʻohana mua ʻia. I kēia hihia, ua hoʻokaʻawale ʻia ka hoʻomanaʻo no ka hash ma libssh ma muli o ka nui hash kumu, a me ka hoʻohana ʻana i ka nui hash nui e alakaʻi i ka ʻikepili i kākau ʻia ma waho o ka palena paʻa i hāʻawi ʻia. Ma ke ʻano he ala palekana fallback, hiki iā ʻoe ke kaupalena i ka papa inoa o nā ʻano hoʻololi kī i kākoʻo ʻia i nā algorithm wale nō me ka nui hash like. No ka laʻana, e hoʻopaʻa iā SHA256, hiki iā ʻoe ke hoʻohui i ke code: rc = ssh_options_set(s->ssh.session, SSH_OPTIONS_KEY_EXCHANGE, "diffie-hellman-group14-sha256, curve25519-sha256,ecdh-sha2-nistp256");
Source: opennet.ru