ProHoster > බ්ලොග් > අන්තර්ජාල පුවත් > ආරක්ෂක නිවැරදි කිරීම් සමඟ OpenSSH 9.3 යාවත්කාලීන කිරීම

ආරක්ෂක නිවැරදි කිරීම් සමඟ OpenSSH 9.3 යාවත්කාලීන කිරීම

SSH 2.0 සහ SFTP සඳහා විවෘත මූලාශ්‍ර සේවාදායක සහ සේවාදායක ක්‍රියාත්මක කිරීමක් වන OpenSSH 9.3 නිකුත් කර ඇත. නව අනුවාදය පහත ආරක්ෂක ගැටළු වලට විසඳුම් සපයයි:

  • ssh-add උපයෝගීතාවයේ තාර්කික දෝෂයක් සොයා ගන්නා ලදී. ssh-agent වෙත ස්මාර්ට් කාඩ් යතුරු එකතු කිරීමේදී, නියෝජිතයා "ssh-add -h" විකල්පය භාවිතයෙන් නිශ්චිත සීමාවන් සමත් නොවීය. එහි ප්‍රතිඵලයක් ලෙස, ඇතැම් ධාරක වලින් පමණක් සම්බන්ධතා සඳහා ඉඩ දෙන සීමාවන් නොමැති යතුරක් නියෝජිතයාට එක් කරන ලදී.
  • වින්‍යාස ගොනුවේ VerifyHostKeyDNS සැකසුම සක්‍රීය කර ඇත්නම්, විශේෂයෙන් නිර්මාණය කරන ලද DNS ප්‍රතිචාර සැකසීමේදී සීමාවෙන් පිටත ස්ටැක් කියවීමකට තුඩු දිය හැකි ssh උපයෝගීතාවයේ අවදානමක් හඳුනාගෙන ඇත. මෙම ගැටළුව පවතින්නේ බාහිර ldns පුස්තකාලය (--with-ldns) නොමැතිව ගොඩනගා ඇති OpenSSH හි අතේ ගෙන යා හැකි අනුවාදවල සහ getrrsetbyname() ඇමතුමට සහය නොදක්වන සම්මත පුස්තකාල සහිත පද්ධතිවල භාවිතා වන getrrsetbyname() ශ්‍රිතයේ බිල්ට්-ඉන් ක්‍රියාත්මක කිරීමේදී ය. ssh සේවාදායකයා මත සේවා ප්‍රතික්ෂේප කිරීමේ ප්‍රහාරයක් ආරම්භ කිරීමට අමතරව, මෙම අවදානම සූරාකෑම සිදුවිය නොහැකි යැයි සැලකේ.

OpenSSH හි භාවිතා වන OpenBSD සමඟ ඇතුළත් libskey පුස්තකාලයේ තවත් අවදානමක් ඇති බව සඳහන් කිරීම වටී. මෙම ගැටළුව 1997 සිට පවතින අතර විශේෂයෙන් නිර්මාණය කරන ලද සත්කාරක නාම සැකසීමේදී ස්ටැක්-පාදක බෆර පිටාර ගැලීමකට හේතු විය හැක. OpenSSH හරහා දුරස්ථව අවදානම ක්‍රියාත්මක කළ හැකි වුවද, එය ප්‍රායෝගික නොවේ, මන්ද ප්‍රහාරයට ලක් වූ සත්කාරක නාමයේ (/etc/hostname) අක්ෂර 126 කට වඩා අඩංගු විය යුතු අතර, බෆරය හිස් අක්ෂර ('\0') වලින් පමණක් පිරී ඉතිරී යා හැක.

ආරක්ෂිත නොවන වෙනස්කම්වලට ඇතුළත් වන්නේ:

  • SSHFP ඇඟිලි සලකුණු පෙන්වීම සඳහා ඇල්ගොරිතම තේරීම සඳහා ssh-keygen සහ ssh-keyscan දැන් "-Ohashalg=sha1|sha256" පරාමිතිය සඳහා සහය දක්වයි.
  • පුද්ගලික යතුරු පූරණය කිරීමට උත්සාහ නොකර හෝ අමතර පරීක්ෂාවන් සිදු නොකර සක්‍රිය වින්‍යාසය විග්‍රහ කර පෙන්වීමට "-G" විකල්පය sshd වෙත එක් කර ඇත, එමඟින් යතුරු උත්පාදනයට පෙර වින්‍යාස පරීක්ෂාවට සහ වරප්‍රසාද නොලත් පරිශීලකයින්ට පරීක්ෂාව ක්‍රියාත්මක කිරීමට ඉඩ සලසයි.
  • sshd විසින් seccomp සහ seccomp-bpf පද්ධති ඇමතුම් පෙරහන් යාන්ත්‍රණ භාවිතයෙන් Linux වේදිකාවේ හුදකලාව වැඩිදියුණු කර ඇත. mmap, madvise සහ futex සඳහා ෆ්ලැග් අවසර ලත් පද්ධති ඇමතුම් ලැයිස්තුවට එකතු කර ඇත.

මූලාශ්රය: opennet.ru

අදහස් එක් කරන්න