ProHoster > ဘလော့ > အင်တာနက်သတင်း > လုံခြုံရေးပြင်ဆင်မှုများနှင့်အတူ OpenSSH 9.3 အပ်ဒိတ်

လုံခြုံရေးပြင်ဆင်မှုများနှင့်အတူ OpenSSH 9.3 အပ်ဒိတ်

SSH 9.3 နှင့် SFTP ပရိုတိုကောများပေါ်တွင် အလုပ်လုပ်ရန်အတွက် ကလိုင်းယင့်နှင့် ဆာဗာ၏ ပွင့်လင်းသောအကောင်အထည်ဖော်မှုဖြစ်သော OpenSSH 2.0 ၏ ထုတ်ဝေမှုကို ထုတ်ဝေလိုက်ပါပြီ။ ဗားရှင်းအသစ်သည် လုံခြုံရေးပြဿနာများကို ဖြေရှင်းပေးသည်-

  • ssh-add utility တွင် ကျိုးကြောင်းဆီလျော်သော အမှားအယွင်းတစ်ခုကို ဖော်ထုတ်ခဲ့ပြီး၊ ထို့ကြောင့်၊ အဘယ်ကြောင့်ဆိုသော် ssh-agent သို့ စမတ်ကတ်သော့များထည့်သည့်အခါ၊ "ssh-add -h" ရွေးချယ်မှုအား အသုံးပြု၍ သတ်မှတ်ထားသော ကန့်သတ်ချက်များကို အေးဂျင့်ထံ မလွှဲပြောင်းနိုင်ခဲ့ပါ။ ရလဒ်အနေဖြင့်၊ အချို့သော host များမှသာ ချိတ်ဆက်မှုများကို ခွင့်ပြုထားသည့် ကန့်သတ်ချက်များကို မကျင့်သုံးဘဲ အေးဂျင့်သို့ သော့တစ်ခုထည့်ခဲ့သည်။
  • VerifyHostKeyDNS ဆက်တင်ကို configuration ဖိုင်တွင် ထည့်သွင်းထားပါက အထူးဖန်တီးထားသော DNS တုံ့ပြန်မှုများကို လုပ်ဆောင်သည့်အခါ ခွဲဝေချထားပေးသည့် ကြားခံပြင်ပနေရာမှ ဒေတာများကို ဖတ်ရှုနိုင်စေမည့် ssh utility တွင် အားနည်းချက်တစ်ခုအား ဖော်ထုတ်ထားသည်။ ပြင်ပ ldns စာကြည့်တိုက် (--with-ldns) ကို အသုံးမပြုဘဲ တည်ဆောက်ထားသော getrrsetbyname() လုပ်ဆောင်ချက်တွင် ပြဿနာရှိနေသည်၊ ၎င်းသည် ပြင်ပ ldns ဒစ်ဂျစ်တိုက် (--with-ldns) နှင့် getrrsetbyname ကိုမပံ့ပိုးသော စံစာကြည့်တိုက်များရှိသော စနစ်များတွင် ပြဿနာရှိနေပါသည်။ (ခေါ်)။ ssh client အတွက် ဝန်ဆောင်မှုကို ငြင်းပယ်ခြင်းမှလွဲ၍ အားနည်းချက်ကို အသုံးချခြင်း၏ ဖြစ်နိုင်ခြေကို မဖြစ်နိုင်ဟု အကဲဖြတ်ပါသည်။

ထို့အပြင် OpenSSH တွင်အသုံးပြုသည့် OpenBSD ပါ၀င်သော libkey စာကြည့်တိုက်တွင် အားနည်းချက်တစ်ခုကို မှတ်သားနိုင်သည်။ အဆိုပါပြဿနာသည် 1997 ခုနှစ်ကတည်းက ရှိနေခဲ့ပြီး အထူးဖန်တီးထားသော အသုံးအဆောင်အမည်များကို လုပ်ဆောင်သည့်အခါ stack တွင် ကြားခံအလျှံပယ်ဖြစ်စေနိုင်သည်။ အားနည်းချက်ကို OpenSSH မှတစ်ဆင့် အဝေးမှစတင်နိုင်သော်လည်း လက်တွေ့တွင် အားနည်းချက်သည် အသုံးမဝင်ကြောင်း၊ ၎င်းဖော်ပြချက်အတွက် တိုက်ခိုက်ခံရသော host (/etc/hostname) ၏အမည်တွင် စာလုံးရေ 126 လုံးထက်မပိုရသောကြောင့်၊ နှင့် null code ('\0') ပါသော အက္ခရာများဖြင့်သာ ကြားခံကို လွှမ်းမိုးနိုင်သည်။

လုံခြုံရေးမဟုတ်သော အပြောင်းအလဲများထဲတွင်-

  • SSHFP လျှပ်တစ်ပြက်များကိုပြသရန်အတွက် algorithm ကိုရွေးချယ်ရန်အတွက် "-Ohashalg=sha1|sha256" parameter အတွက် ssh-keygen နှင့် ssh-keyscan အတွက် ပံ့ပိုးမှု ပေါင်းထည့်ထားပါသည်။
  • သီးသန့်သော့များကို တင်ရန် မကြိုးစားဘဲ သီးသန့်သော့များကို ဖွင့်ရန် မကြိုးစားဘဲ ခွဲခြမ်းစိတ်ဖြာရန် sshd တွင် "-G" ရွေးချယ်ခွင့်ကို ထည့်သွင်းပြီး သော့မထုတ်လုပ်မီတွင် စစ်ဆေးရန်နှင့် အခွင့်ထူးမရသေးသော အသုံးပြုသူများမှ လုပ်ဆောင်ရန် ခွင့်ပြုထားသည်။
  • sshd သည် seccomp နှင့် seccomp-bpf စနစ်ခေါ်ဆိုမှု စစ်ထုတ်ခြင်းယန္တရားများကို အသုံးပြု၍ Linux ပလပ်ဖောင်းပေါ်တွင် သီးခြားခွဲထားမှုကို ပိုမိုကောင်းမွန်စေပါသည်။ ခွင့်ပြုထားသောစနစ်ခေါ်ဆိုမှုစာရင်းတွင် mmap၊ madvise နှင့် futex တွင် အလံများထည့်ထားသည်။

source: opennet.ru

မှတ်ချက် Add