ProHoster > බ්ලොග් > අන්තර්ජාල පුවත් > ආරක්ෂක නිවැරදි කිරීම් සමඟ OpenSSH 9.3 යාවත්කාලීන කිරීම

ආරක්ෂක නිවැරදි කිරීම් සමඟ OpenSSH 9.3 යාවත්කාලීන කිරීම

OpenSSH 9.3 නිකුතුව ප්‍රකාශයට පත් කර ඇත, SSH 2.0 සහ SFTP ප්‍රොටෝකෝල භාවිතයෙන් වැඩ කිරීම සඳහා සේවාලාභියෙකුගේ සහ සේවාදායකයේ විවෘත ක්‍රියාවක්. නව අනුවාදය ආරක්ෂක ගැටළු නිරාකරණය කරයි:

  • ssh-add උපයෝගීතාවයේ තාර්කික දෝෂයක් අනාවරණය වී ඇති අතර, එම නිසා ssh-agent වෙත ස්මාර්ට් කාඩ්පත් සඳහා යතුරු එකතු කිරීමේදී, “ssh-add -h” විකල්පය භාවිතයෙන් දක්වා ඇති සීමාවන් නියෝජිතයා වෙත ලබා නොදෙන ලදී. එහි ප්‍රතිඵලයක් වශයෙන්, නියෝජිතයා වෙත යතුරක් එක් කරන ලදී, ඒ සඳහා සීමාවන් යොදවා නොතිබූ අතර, ඇතැම් ධාරකයන්ගෙන් පමණක් සම්බන්ධතාවලට ඉඩ ලබා දේ.
  • වින්‍යාස ගොනුවේ VerifyHostKeyDNS සැකසුම සක්‍රීය කර ඇත්නම්, විශේෂයෙන් ෆෝමැට් කරන ලද DNS ප්‍රතිචාර සැකසීමේදී වෙන් කරන ලද බෆරයෙන් පිටත අට්ටි ප්‍රදේශයෙන් දත්ත කියවීමට තුඩු දිය හැකි ssh උපයෝගීතාවයේ අවදානමක් හඳුනාගෙන ඇත. ගැටළුව ඇත්තේ බාහිර ldns පුස්තකාලය (-with-ldns) භාවිතා නොකර OpenSSH හි අතේ ගෙන යා හැකි අනුවාද වල සහ getrrsetbyname () සඳහා සහය නොදක්වන සම්මත පුස්තකාල සහිත පද්ධතිවල භාවිතා කරන ලද getrrsetbyname() ශ්‍රිතය ක්‍රියාත්මක කිරීම තුලය. ) අමතන්න. ssh සේවාලාභියාට සේවා ප්‍රතික්ෂේප කිරීමක් ආරම්භ කිරීම හැර, අවදානම සූරාකෑමේ හැකියාවක් විය නොහැක්කක් ලෙස තක්සේරු කෙරේ.

මීට අමතරව, OpenSSH හි භාවිතා වන OpenBSD හි ඇතුළත් කර ඇති libskey පුස්තකාලයේ අවදානමක් ඔබට සටහන් කළ හැක. ගැටළුව 1997 සිට පවතින අතර විශේෂයෙන් ෆෝමැට් කරන ලද ධාරක නාම සැකසීමේදී ස්ටැක් බෆරය පිටාර ගැලීමට හේතු විය හැක. අවදානම ප්‍රකාශ කිරීම OpenSSH හරහා දුරස්ථව ආරම්භ කළ හැකි වුවද, ප්‍රායෝගිකව අවදානම නිෂ්ඵල බව සටහන් වේ, මන්ද එය ප්‍රකාශ වීමට නම්, ප්‍රහාරයට ලක් වූ ධාරකයේ (/etc/hostname) නමට වඩා වැඩි ගණනක් අඩංගු විය යුතුය. අක්ෂර 126 ක්, සහ බෆරය පිරී ඉතිරී යා හැක්කේ ශුන්‍ය කේතය ('\0') සහිත අක්ෂර වලින් පමණි.

ආරක්ෂිත නොවන වෙනස්කම්වලට ඇතුළත් වන්නේ:

  • "-Ohashalg=sha1|sha256" පරාමිතිය ssh-keygen වෙත සහ SSHFP nugget display algorithm තේරීමට ssh-keyscan වෙත සහය එක් කරන ලදී.
  • sshd විසින් පුද්ගලික යතුරු පැටවීමට උත්සාහ නොකර සහ අමතර චෙක්පත් සිදු නොකර සක්‍රිය වින්‍යාසය විග්‍රහ කිරීමට සහ ප්‍රදර්ශනය කිරීමට "-G" විකල්පය එක් කර ඇත, එමඟින් යතුරු උත්පාදනයට පෙර අදියරේදී වින්‍යාසය පරීක්ෂා කිරීමට සහ වරප්‍රසාද නොලත් පරිශීලකයින් විසින් චෙක්පත ධාවනය කිරීමට ඔබට ඉඩ සලසයි.
  • sshd seccomp සහ seccomp-bpf පද්ධති ඇමතුම් පෙරීමේ යාන්ත්‍රණ භාවිතා කරමින් Linux වේදිකාවේ හුදකලාව වැඩි දියුණු කරයි. අවසර ලත් පද්ධති ඇමතුම් ලැයිස්තුවට mmap, madvise සහ futex සඳහා ධජ එක් කර ඇත.

මූලාශ්රය: opennet.ru

අදහස් එක් කරන්න