ಪ್ರೊಹೋಸ್ಟರ್ > Блог > ಇಂಟರ್ನೆಟ್ ಸುದ್ದಿ > ಭದ್ರತಾ ಪರಿಹಾರಗಳೊಂದಿಗೆ OpenSSH 9.3 ನವೀಕರಣ

ಭದ್ರತಾ ಪರಿಹಾರಗಳೊಂದಿಗೆ OpenSSH 9.3 ನವೀಕರಣ

OpenSSH 9.3 ಬಿಡುಗಡೆಯನ್ನು ಪ್ರಕಟಿಸಲಾಗಿದೆ, SSH 2.0 ಮತ್ತು SFTP ಪ್ರೋಟೋಕಾಲ್‌ಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಕಾರ್ಯನಿರ್ವಹಿಸಲು ಕ್ಲೈಂಟ್ ಮತ್ತು ಸರ್ವರ್‌ನ ಮುಕ್ತ ಅನುಷ್ಠಾನ. ಹೊಸ ಆವೃತ್ತಿಯು ಭದ್ರತಾ ಸಮಸ್ಯೆಗಳನ್ನು ಪರಿಹರಿಸುತ್ತದೆ:

  • ssh-add ಯುಟಿಲಿಟಿಯಲ್ಲಿ ತಾರ್ಕಿಕ ದೋಷವನ್ನು ಪತ್ತೆಹಚ್ಚಲಾಗಿದೆ, ಇದರಿಂದಾಗಿ ssh-ಏಜೆಂಟ್‌ಗೆ ಸ್ಮಾರ್ಟ್ ಕಾರ್ಡ್‌ಗಳಿಗಾಗಿ ಕೀಗಳನ್ನು ಸೇರಿಸುವಾಗ, "ssh-add -h" ಆಯ್ಕೆಯನ್ನು ಬಳಸಿಕೊಂಡು ನಿರ್ದಿಷ್ಟಪಡಿಸಿದ ನಿರ್ಬಂಧಗಳನ್ನು ಏಜೆಂಟ್‌ಗೆ ರವಾನಿಸಲಾಗಿಲ್ಲ. ಪರಿಣಾಮವಾಗಿ, ಏಜೆಂಟ್‌ಗೆ ಕೀಲಿಯನ್ನು ಸೇರಿಸಲಾಯಿತು, ಇದಕ್ಕಾಗಿ ಯಾವುದೇ ನಿರ್ಬಂಧಗಳನ್ನು ಅನ್ವಯಿಸಲಾಗಿಲ್ಲ, ಕೆಲವು ಹೋಸ್ಟ್‌ಗಳಿಂದ ಮಾತ್ರ ಸಂಪರ್ಕಗಳನ್ನು ಅನುಮತಿಸುತ್ತದೆ.
  • ಸಂರಚನಾ ಕಡತದಲ್ಲಿ VerifyHostKeyDNS ಸೆಟ್ಟಿಂಗ್ ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿದಲ್ಲಿ, ವಿಶೇಷವಾಗಿ ಫಾರ್ಮ್ಯಾಟ್ ಮಾಡಲಾದ DNS ಪ್ರತಿಕ್ರಿಯೆಗಳನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುವಾಗ ನಿಯೋಜಿಸಲಾದ ಬಫರ್‌ನ ಹೊರಗಿನ ಸ್ಟಾಕ್ ಪ್ರದೇಶದಿಂದ ಡೇಟಾವನ್ನು ಓದಲು ಕಾರಣವಾಗಬಹುದು ssh ಉಪಯುಕ್ತತೆಯಲ್ಲಿ ದುರ್ಬಲತೆಯನ್ನು ಗುರುತಿಸಲಾಗಿದೆ. ಬಾಹ್ಯ ldns ಲೈಬ್ರರಿ (--with-ldns) ಅನ್ನು ಬಳಸದೆಯೇ OpenSSH ನ ಪೋರ್ಟಬಲ್ ಆವೃತ್ತಿಗಳಲ್ಲಿ ಮತ್ತು getrrsetbyname ಅನ್ನು ಬೆಂಬಲಿಸದ ಸ್ಟ್ಯಾಂಡರ್ಡ್ ಲೈಬ್ರರಿಗಳೊಂದಿಗೆ ಸಿಸ್ಟಮ್‌ಗಳಲ್ಲಿ ಬಳಸಲಾಗುವ getrrsetbyname() ಕಾರ್ಯದ ಅಂತರ್ನಿರ್ಮಿತ ಅನುಷ್ಠಾನದಲ್ಲಿ ಸಮಸ್ಯೆ ಇದೆ. () ಕರೆ. ssh ಕ್ಲೈಂಟ್‌ಗೆ ಸೇವೆಯ ನಿರಾಕರಣೆಯನ್ನು ಪ್ರಾರಂಭಿಸುವುದನ್ನು ಹೊರತುಪಡಿಸಿ ದುರ್ಬಲತೆಯ ಶೋಷಣೆಯ ಸಾಧ್ಯತೆಯನ್ನು ಅಸಂಭವವೆಂದು ನಿರ್ಣಯಿಸಲಾಗುತ್ತದೆ.

ಹೆಚ್ಚುವರಿಯಾಗಿ, ಓಪನ್‌ಎಸ್‌ಎಸ್‌ಎಚ್‌ನಲ್ಲಿ ಬಳಸಲಾಗುವ ಓಪನ್‌ಬಿಎಸ್‌ಡಿಯಲ್ಲಿ ಒಳಗೊಂಡಿರುವ ಲಿಬ್‌ಸ್ಕಿ ಲೈಬ್ರರಿಯಲ್ಲಿ ದುರ್ಬಲತೆಯನ್ನು ನೀವು ಗಮನಿಸಬಹುದು. ಸಮಸ್ಯೆಯು 1997 ರಿಂದಲೂ ಇದೆ ಮತ್ತು ವಿಶೇಷವಾಗಿ ಫಾರ್ಮ್ಯಾಟ್ ಮಾಡಲಾದ ಹೋಸ್ಟ್ ಹೆಸರುಗಳನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುವಾಗ ಸ್ಟಾಕ್ ಬಫರ್ ಓವರ್‌ಫ್ಲೋಗೆ ಕಾರಣವಾಗಬಹುದು. ದುರ್ಬಲತೆಯ ಅಭಿವ್ಯಕ್ತಿಯನ್ನು OpenSSH ಮೂಲಕ ದೂರದಿಂದಲೇ ಪ್ರಾರಂಭಿಸಬಹುದು ಎಂಬ ಅಂಶದ ಹೊರತಾಗಿಯೂ, ಪ್ರಾಯೋಗಿಕವಾಗಿ ದುರ್ಬಲತೆಯು ನಿಷ್ಪ್ರಯೋಜಕವಾಗಿದೆ, ಏಕೆಂದರೆ ಅದು ಸ್ವತಃ ಪ್ರಕಟಗೊಳ್ಳಲು, ದಾಳಿಗೊಳಗಾದ ಹೋಸ್ಟ್‌ನ ಹೆಸರು (/ಇತ್ಯಾದಿ/ಹೋಸ್ಟ್ ಹೆಸರು) ಹೆಚ್ಚಿನದನ್ನು ಹೊಂದಿರಬೇಕು 126 ಅಕ್ಷರಗಳು, ಮತ್ತು ಬಫರ್ ಶೂನ್ಯ ಕೋಡ್ ('\0') ಹೊಂದಿರುವ ಅಕ್ಷರಗಳಿಂದ ಮಾತ್ರ ತುಂಬಿ ತುಳುಕುತ್ತಿರಬಹುದು.

ಭದ್ರತೆಯಲ್ಲದ ಬದಲಾವಣೆಗಳು ಸೇರಿವೆ:

  • SSHFP ಗಟ್ಟಿ ಪ್ರದರ್ಶನ ಅಲ್ಗಾರಿದಮ್ ಅನ್ನು ಆಯ್ಕೆ ಮಾಡಲು ssh-keygen ಮತ್ತು ssh-keyscan ಗೆ "-Ohashalg=sha1|sha256" ಪ್ಯಾರಾಮೀಟರ್‌ಗೆ ಬೆಂಬಲವನ್ನು ಸೇರಿಸಲಾಗಿದೆ.
  • sshd ಖಾಸಗಿ ಕೀಲಿಗಳನ್ನು ಲೋಡ್ ಮಾಡಲು ಪ್ರಯತ್ನಿಸದೆಯೇ ಮತ್ತು ಹೆಚ್ಚುವರಿ ಪರಿಶೀಲನೆಗಳನ್ನು ಮಾಡದೆಯೇ ಸಕ್ರಿಯ ಸಂರಚನೆಯನ್ನು ಪಾರ್ಸ್ ಮಾಡಲು ಮತ್ತು ಪ್ರದರ್ಶಿಸಲು "-G" ಆಯ್ಕೆಯನ್ನು ಸೇರಿಸಿದೆ, ಇದು ಕೀ ಉತ್ಪಾದನೆಯ ಮೊದಲು ಒಂದು ಹಂತದಲ್ಲಿ ಕಾನ್ಫಿಗರೇಶನ್ ಅನ್ನು ಪರಿಶೀಲಿಸಲು ಮತ್ತು ಅನಪೇಕ್ಷಿತ ಬಳಕೆದಾರರಿಂದ ಚೆಕ್ ಅನ್ನು ಚಲಾಯಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ.
  • sshd seccomp ಮತ್ತು seccomp-bpf ಸಿಸ್ಟಮ್ ಕರೆ ಫಿಲ್ಟರಿಂಗ್ ಕಾರ್ಯವಿಧಾನಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಲಿನಕ್ಸ್ ಪ್ಲಾಟ್‌ಫಾರ್ಮ್‌ನಲ್ಲಿ ಪ್ರತ್ಯೇಕತೆಯನ್ನು ಹೆಚ್ಚಿಸುತ್ತದೆ. ಅನುಮತಿಸಲಾದ ಸಿಸ್ಟಮ್ ಕರೆಗಳ ಪಟ್ಟಿಗೆ mmap, madvise ಮತ್ತು futex ಗಾಗಿ ಫ್ಲ್ಯಾಗ್‌ಗಳನ್ನು ಸೇರಿಸಲಾಗಿದೆ.

ಮೂಲ: opennet.ru

ಕಾಮೆಂಟ್ ಅನ್ನು ಸೇರಿಸಿ