പ്രോ ഹോസ്റ്റർ > ബ്ലോഗ് > ഇന്റർനെറ്റ് വാർത്തകൾ > സുരക്ഷാ പരിഹാരങ്ങളോടുകൂടിയ OpenSSH 9.3 അപ്ഡേറ്റ്

സുരക്ഷാ പരിഹാരങ്ങളോടുകൂടിയ OpenSSH 9.3 അപ്ഡേറ്റ്

SSH 9.3, SFTP പ്രോട്ടോക്കോളുകൾ ഉപയോഗിച്ച് പ്രവർത്തിക്കുന്നതിനുള്ള ഒരു ക്ലയന്റിന്റെയും സെർവറിന്റെയും തുറന്ന നിർവ്വഹണമായ OpenSSH 2.0-ന്റെ റിലീസ് പ്രസിദ്ധീകരിച്ചു. പുതിയ പതിപ്പ് സുരക്ഷാ പ്രശ്നങ്ങൾ പരിഹരിക്കുന്നു:

  • ssh-add യൂട്ടിലിറ്റിയിൽ ഒരു ലോജിക്കൽ പിശക് കണ്ടെത്തിയതിനാൽ, ssh-ഏജന്റിലേക്ക് സ്മാർട്ട് കാർഡുകൾക്കുള്ള കീകൾ ചേർക്കുമ്പോൾ, “ssh-add -h” ഓപ്ഷൻ ഉപയോഗിച്ച് വ്യക്തമാക്കിയ നിയന്ത്രണങ്ങൾ ഏജന്റിന് കൈമാറിയില്ല. തൽഫലമായി, ഏജന്റിലേക്ക് ഒരു കീ ചേർത്തു, അതിനായി നിയന്ത്രണങ്ങളൊന്നും പ്രയോഗിച്ചില്ല, ചില ഹോസ്റ്റുകളിൽ നിന്ന് മാത്രം കണക്ഷനുകൾ അനുവദിക്കുന്നു.
  • കോൺഫിഗറേഷൻ ഫയലിൽ VerifyHostKeyDNS ക്രമീകരണം പ്രവർത്തനക്ഷമമാക്കിയിട്ടുണ്ടെങ്കിൽ, പ്രത്യേകം ഫോർമാറ്റ് ചെയ്‌ത DNS പ്രതികരണങ്ങൾ പ്രോസസ്സ് ചെയ്യുമ്പോൾ, അനുവദിച്ച ബഫറിന് പുറത്തുള്ള സ്റ്റാക്ക് ഏരിയയിൽ നിന്നുള്ള ഡാറ്റ റീഡുചെയ്യുന്നതിന് ഇടയാക്കുന്ന ഒരു അപകടസാധ്യത ssh യൂട്ടിലിറ്റിയിൽ തിരിച്ചറിഞ്ഞിട്ടുണ്ട്. ബാഹ്യ ldns ലൈബ്രറി (-with-ldns) ഉപയോഗിക്കാതെ കംപൈൽ ചെയ്‌ത OpenSSH-ന്റെ പോർട്ടബിൾ പതിപ്പുകളിലും getrrsetbyname() പിന്തുണയ്‌ക്കാത്ത സാധാരണ ലൈബ്രറികളുള്ള സിസ്റ്റങ്ങളിലും ഉപയോഗിക്കുന്ന getrrsetbyname() ഫംഗ്‌ഷന്റെ അന്തർനിർമ്മിത നിർവ്വഹണത്തിലാണ് പ്രശ്‌നം. ) വിളി. ssh ക്ലയന്റിനുള്ള സേവന നിഷേധം ആരംഭിക്കുന്നത് ഒഴികെയുള്ള അപകടസാധ്യത ചൂഷണം ചെയ്യാനുള്ള സാധ്യത അസംഭവ്യമാണെന്ന് വിലയിരുത്തപ്പെടുന്നു.

കൂടാതെ, OpenSSH-ൽ ഉപയോഗിക്കുന്ന OpenBSD-യിൽ ഉൾപ്പെടുത്തിയിരിക്കുന്ന libskey ലൈബ്രറിയിൽ ഒരു കേടുപാടുകൾ നിങ്ങൾക്ക് ശ്രദ്ധിക്കാവുന്നതാണ്. 1997 മുതൽ ഈ പ്രശ്നം നിലവിലുണ്ട്, പ്രത്യേകം ഫോർമാറ്റ് ചെയ്ത ഹോസ്റ്റ്നാമങ്ങൾ പ്രോസസ്സ് ചെയ്യുമ്പോൾ ഒരു സ്റ്റാക്ക് ബഫർ ഓവർഫ്ലോയ്ക്ക് കാരണമാകാം. ഓപ്പൺഎസ്എസ്എച്ച് വഴി വിദൂരമായി അപകടസാധ്യതയുടെ പ്രകടനങ്ങൾ ആരംഭിക്കാമെങ്കിലും, പ്രായോഗികമായി അപകടസാധ്യത ഉപയോഗശൂന്യമാണ്, കാരണം അത് സ്വയം പ്രകടമാകണമെങ്കിൽ, ആക്രമണത്തിനിരയായ ഹോസ്റ്റിന്റെ പേരിൽ (/ etc/hostname) കൂടുതലായി അടങ്ങിയിരിക്കണം. 126 പ്രതീകങ്ങൾ, കൂടാതെ പൂജ്യം കോഡ് ('\0') ഉള്ള പ്രതീകങ്ങൾ കൊണ്ട് മാത്രമേ ബഫർ നിറഞ്ഞുനിൽക്കാൻ കഴിയൂ.

സുരക്ഷിതമല്ലാത്ത മാറ്റങ്ങളിൽ ഇവ ഉൾപ്പെടുന്നു:

  • "-Ohashalg=sha1|sha256" എന്ന പാരാമീറ്ററിന് ssh-keygen-ലേയ്ക്കും SSH-keyscan-ലേയ്ക്കും SSHFP നഗറ്റ് ഡിസ്പ്ലേ അൽഗോരിതം തിരഞ്ഞെടുക്കുന്നതിനുള്ള പിന്തുണ ചേർത്തു.
  • സ്വകാര്യ കീകൾ ലോഡുചെയ്യാൻ ശ്രമിക്കാതെയും അധിക പരിശോധനകൾ നടത്താതെയും സജീവ കോൺഫിഗറേഷൻ പാഴ്‌സ് ചെയ്യാനും പ്രദർശിപ്പിക്കാനും sshd ഒരു "-G" ഓപ്ഷൻ ചേർത്തിട്ടുണ്ട്, ഇത് കീ ജനറേഷന് മുമ്പുള്ള ഘട്ടത്തിൽ കോൺഫിഗറേഷൻ പരിശോധിക്കാനും പ്രത്യേകാവകാശമില്ലാത്ത ഉപയോക്താക്കൾ ചെക്ക് പ്രവർത്തിപ്പിക്കാനും നിങ്ങളെ അനുവദിക്കുന്നു.
  • sshd, seccomp, seccomp-bpf സിസ്റ്റം കോൾ ഫിൽട്ടറിംഗ് മെക്കാനിസങ്ങൾ ഉപയോഗിച്ച് ലിനക്സ് പ്ലാറ്റ്‌ഫോമിൽ ഐസൊലേഷൻ വർദ്ധിപ്പിക്കുന്നു. അനുവദനീയമായ സിസ്റ്റം കോളുകളുടെ പട്ടികയിലേക്ക് mmap, madvise, futex എന്നിവയ്‌ക്കുള്ള ഫ്ലാഗുകൾ ചേർത്തു.

അവലംബം: opennet.ru

ഒരു അഭിപ്രായം ചേർക്കുക