Libssh පුස්තකාලයේ (libssh2 සමඟ පටලවා නොගත යුතු) අවදානමක් (CVE-2-2021) හඳුනාගෙන ඇත, එය C වැඩසටහන් වෙත SSHv3634 ප්රොටෝකෝලය සඳහා සේවාදායක සහ සේවාදායක සහය එක් කිරීමට නිර්මාණය කර ඇති අතර, එය නැවත ප්රතික්රියා කිරීමේ ක්රියාවලිය ආරම්භ කිරීමේදී බෆරය පිටාර ගැලීමට හේතු වේ. වෙනස් හැෂිං ඇල්ගොරිතමයක් භාවිතා කරන යතුරු හුවමාරුව භාවිතා කිරීම. 0.9.6 නිකුතුවේදී ගැටළුව විසඳා ඇත.
ගැටලුවේ සාරය නම්, ප්රධාන වෙනස් කිරීමේ මෙහෙයුම මුලින් භාවිතා කරන ලද ඇල්ගොරිතමයට වඩා වෙනස් වන වාත්තු ප්රමාණයකින් ගුප්ත ලේඛන හැෂ් භාවිතා කිරීමට ඉඩ සලසයි. මෙම අවස්ථාවෙහිදී, libssh හි හැෂ් සඳහා මතකය මුල් හෑෂ් ප්රමාණය මත පදනම්ව වෙන් කරන ලද අතර, විශාල හෑෂ් ප්රමාණයක් භාවිතා කිරීමෙන් දත්ත වෙන් කරන ලද බෆර සීමාවෙන් ඔබ්බට නැවත ලිවීමට හේතු වේ. පසුබැසීමේ ආරක්ෂක ක්රමයක් ලෙස, ඔබට සහය දක්වන යතුරු හුවමාරු ක්රම ලැයිස්තුව එකම හැෂ් ප්රමාණය සහිත ඇල්ගොරිතම වලට පමණක් සීමා කළ හැක. උදාහරණයක් ලෙස, SHA256 වෙත බැඳීමට, ඔබට කේතයට එක් කළ හැක: rc = ssh_options_set(s->ssh.session, SSH_OPTIONS_KEY_EXCHANGE, "diffie-hellman-group14-sha256,curve25519-sha256,ecdh-2");
මූලාශ්රය: opennet.ru