د SSH پیرودونکو OpenSSH او PuTTY کې زیانمنتیا

په SSH پیرودونکو کې OpenSSH او PuTTY پیژندل شوی زیانمنتیا (CVE-2020-14002 په PuTTY او CVE-2020-14145 په OpenSSH کې)، د ارتباط د خبرو اترو الګوریتم کې د معلوماتو لیکیدو لامل کیږي. زیان منونکي برید کونکي ته اجازه ورکوي چې د پیرودونکي ترافیک مداخله وکړي (د مثال په توګه ، کله چې یو کارن د برید کونکي کنټرول شوي بې سیم لاسرسي نقطې له لارې وصل کیږي) ترڅو د پیرودونکي په پیل کې کوربه ته د پیرودونکي سره وصل کولو هڅه کشف کړي کله چې پیرودونکي لاهم د کوربه کیلي نه وي ساتلی.

پدې پوهیدل چې پیرودونکي د لومړي ځل لپاره د نښلولو هڅه کوي او لاهم د کوربه کیلي په خپل اړخ کې نلري ، برید کونکی کولی شي اړیکه پخپله (MITM) له لارې خپره کړي او پیرودونکي ته د هغه کوربه کیلي ورکړي ، کوم چې د SSH پیرودونکي به په پام کې ونیسي. د هدف کوربه کیلي اوسئ که چیرې دا د کیلي ګوتې نښه تایید نکړي. په دې توګه، یو برید کوونکی کولی شي MITM تنظیم کړي پرته له دې چې د کاروونکي شک راپاروي او هغه ناستې له پامه غورځوي چې د پیرودونکي اړخ دمخه د کوربه کیلي ساتلې وي، د ځای په ځای کولو هڅه چې د کوربه کیلي د بدلون په اړه خبرداری ورکوي. برید د کاروونکو د بې احتیاطۍ پراساس دی چې په لاسي ډول د کوربه کیلي د ګوتو نښې نه ګوري کله چې دوی لومړی وصل شي. هغه کسان چې د ګوتو کلیدي نښانونه ګوري د دې ډول بریدونو څخه خوندي دي.

د لومړۍ پیوستون هڅې ټاکلو لپاره د یوې نښې په توګه ، د ملاتړ شوي کوربه کلیدي الګوریتم لیست کولو ترتیب کې بدلون کارول کیږي. که لومړی اړیکه واقع شي، پیرودونکي د ډیفالټ الګوریتم لیست لیږدوي، او که د کوربه کیلي لا دمخه په کیچ کې وي، نو اړونده الګوریتم په لومړي ځای کې ځای پرځای کیږي (الګوریتمونه د غوره توب په ترتیب سره ترتیب شوي).

ستونزه په OpenSSH کې ښکاري 5.7 ته 8.3 او PuTTY 0.68 ته 0.73 خپروي. ستونزه له منځه وړل په مسله کې پوټي 0.74 په دوامداره ترتیب کې د الګوریتمونو لیست کولو په ګټه د کوربه کلیدي پروسس کولو الګوریتمونو لیست متحرک جوړښت غیر فعال کولو اختیار اضافه کولو سره.

د OpenSSH پروژه پلان نلري چې د SSH پیرودونکي چلند بدل کړي، ځکه چې که تاسو په لومړي ځای کې د موجوده کیلي الګوریتم مشخص نه کړئ، نو هڅه به وشي چې د الګوریتم کارولو هڅه وشي چې د زیرمه شوي کیلي سره مطابقت نلري او د نامعلوم کیلي په اړه خبرداری به ښکاره شي. هغوی. یو انتخاب راپورته کیږي - یا د معلوماتو لیک (OpenSSH او PuTTY)، یا د کیلي (Dropbear SSH) بدلولو په اړه خبرداری که چیرې خوندي شوی کیلي په ډیفالټ لیست کې د لومړي الګوریتم سره مطابقت ونلري.

د امنیت چمتو کولو لپاره، OpenSSH د DNSSEC او کوربه سندونو (PKI) کې د SSHFP ننوتلو په کارولو سره د کوربه کلیدي تایید لپاره بدیل میتودونه وړاندې کوي. تاسو کولی شئ د HostKeyAlgorithms اختیار له لارې د کوربه کلیدي الګوریتمونو تطابق انتخاب هم غیر فعال کړئ او د UpdateHostKeys اختیار وکاروئ ترڅو پیرودونکي ته اجازه ورکړي چې د تصدیق وروسته اضافي کوربه کیلي ترلاسه کړي.

سرچینه: opennet.ru