ProHoster > بلاګ > انټرنیټ خبرونه > OpenSSH 9.3 تازه د امنیتي اصلاحاتو سره

OpenSSH 9.3 تازه د امنیتي اصلاحاتو سره

د OpenSSH 9.3 خوشې کول، د SSH 2.0 او SFTP پروتوکولونو کې کار کولو لپاره د پیرودونکي او سرور خلاص تطبیق، خپور شوی. نوې نسخه د امنیت مسلې حل کوي:

  • په ssh-add یوټیلیټ کې یوه منطقي تېروتنه په ګوته شوې، د دې له امله، کله چې ssh-agent ته د سمارټ کارډ کیلي اضافه کول، د "ssh-add -h" اختیار په کارولو سره مشخص شوي محدودیتونه اجنټ ته ندي لیږدول شوي. د پایلې په توګه، اجنټ ته کیلي اضافه شوه، د کوم لپاره چې محدودیتونه ندي پلي شوي چې یوازې د ځینې کوربه څخه د اړیکو اجازه ورکوي.
  • په ssh یوټیلیټ کې یو زیان منونکی پیژندل شوی چې کولی شي د ځانګړي شوي بفر څخه بهر د سټیک ساحې څخه د معلوماتو لوستلو لامل شي کله چې ځانګړي جوړ شوي DNS ځوابونه پروسس کوي که چیرې د VerifyHostKeyDNS ترتیب د ترتیب کولو فایل کې شامل وي. ستونزه د getrrsetbyname() فنکشن په جوړ شوي پلي کولو کې شتون لري ، کوم چې د بهرني ldns کتابتون (--with-ldns) کارولو پرته د OpenSSH پورټ ایبل نسخو کې کارول کیږي او د معیاري کتابتونونو سره سیسټمونو کې کارول کیږي چې د getrrsetbyname ملاتړ نه کوي. () زنګ ووهئ. د ssh مراجعینو لپاره د خدماتو انکار پیل کولو پرته، د زیانمننې څخه د ګټې اخیستنې احتمال د امکان په توګه ارزول شوی.

سربیره پردې، د OpenBSD سره شامل د لیبسکي کتابتون کې یو زیان لیدل کیدی شي، کوم چې په OpenSSH کې کارول کیږي. ستونزه د 1997 راهیسې شتون لري او کولی شي په سټیک کې د بفر ډیروالي لامل شي کله چې په ځانګړي ډول جوړ شوي کوربه نومونه پروسس کوي. د یادونې وړ ده چې د دې حقیقت سره سره چې د زیان مننې څرګندونه د OpenSSH له لارې په لیرې توګه پیل کیدی شي، په عمل کې زیانمننه بې ګټې ده، ځکه چې د دې څرګندولو لپاره د برید شوي کوربه نوم (/etc/hostname) باید له 126 څخه ډیر حروف ولري، او بفر یوازې د نول کوډ ('\0') سره د حروفونو سره ډک کیدی شي.

د غیر امنیتي بدلونونو په منځ کې:

  • د "-Ohashalg=sha1|sha256" پیرامیټر لپاره ssh-keygen او ssh-keyscan ته د SSHFP سنیپ شاټونو ښودلو لپاره د الګوریتم غوره کولو لپاره ملاتړ اضافه شوی.
  • sshd ته د "-G" اختیار اضافه شوی ترڅو فعال تشکیلات پارس او ښکاره کړي پرته لدې چې د شخصي کیلي بارولو هڅه وکړي او پرته له اضافي چکونو ترسره کړي ، د کیلي نسل دمخه ترتیب چیک کولو ته اجازه ورکوي او د غیر مستحق کاروونکو لخوا پرمخ وړل کیږي.
  • sshd د seccomp او seccomp-bpf سیسټم کال فلټر کولو میکانیزمونو په کارولو سره د لینکس پلیټ فارم کې انزوا ته وده ورکړې. د اجازه ورکړل شوي سیسټم تلیفونونو لیست کې mmap، madvise او futex ته بیرغونه اضافه کړل.

سرچینه: opennet.ru

Add a comment