SSH 2.0 மற்றும் SFTP-க்கான திறந்த மூல கிளையன்ட் மற்றும் சர்வர் செயல்படுத்தலான OpenSSH 9.3 வெளியிடப்பட்டுள்ளது. புதிய பதிப்பு பின்வரும் பாதுகாப்பு சிக்கல்களை நிவர்த்தி செய்கிறது:
- ssh-add பயன்பாட்டில் ஒரு தர்க்கரீதியான பிழை கண்டறியப்பட்டது. ssh-agent இல் ஸ்மார்ட் கார்டு விசைகளைச் சேர்க்கும்போது, "ssh-add -h" விருப்பத்தைப் பயன்படுத்தி குறிப்பிடப்பட்ட கட்டுப்பாடுகளை முகவர் கடக்கவில்லை. இதன் விளைவாக, குறிப்பிட்ட ஹோஸ்ட்களிலிருந்து இணைப்புகளை மட்டும் அனுமதிக்கும் கட்டுப்பாடுகள் இல்லாத ஒரு விசை முகவருடன் சேர்க்கப்பட்டது.
- உள்ளமைவு கோப்பில் VerifyHostKeyDNS அமைப்பு இயக்கப்பட்டிருந்தால், சிறப்பாக வடிவமைக்கப்பட்ட DNS பதில்களைச் செயலாக்கும்போது, எல்லைக்கு வெளியே உள்ள அடுக்கைப் படிக்க வழிவகுக்கும் ஒரு பாதிப்பு ssh பயன்பாட்டில் அடையாளம் காணப்பட்டுள்ளது. வெளிப்புற ldns நூலகம் (--with-ldns) இல்லாமல் கட்டமைக்கப்பட்ட OpenSSH இன் போர்ட்டபிள் பதிப்புகளிலும், getrrsetbyname() அழைப்பை ஆதரிக்காத நிலையான நூலகங்களைக் கொண்ட அமைப்புகளிலும் பயன்படுத்தப்படும் getrrsetbyname() செயல்பாட்டின் உள்ளமைக்கப்பட்ட செயல்படுத்தலில் சிக்கல் உள்ளது. ssh கிளையன்ட் மீது சேவை மறுப்புத் தாக்குதலைத் தொடங்குவதைத் தவிர, இந்த பாதிப்பைப் பயன்படுத்துவது சாத்தியமில்லை என்று கருதப்படுகிறது.
OpenSSH இல் பயன்படுத்தப்படும் OpenBSD உடன் சேர்க்கப்பட்டுள்ள libskey நூலகத்தில் உள்ள மற்றொரு பாதிப்பு கவனிக்கத்தக்கது. இந்த சிக்கல் 1997 முதல் உள்ளது மற்றும் சிறப்பாக வடிவமைக்கப்பட்ட ஹோஸ்ட்பெயர்களை செயலாக்கும்போது அடுக்கு அடிப்படையிலான இடையக வழிதல் ஏற்படலாம். OpenSSH மூலம் பாதிப்பை தொலைவிலிருந்து தூண்ட முடியும் என்றாலும், அது நடைமுறைக்கு மாறானது, ஏனெனில் தாக்கப்பட்ட ஹோஸ்ட்பெயர் (/etc/hostname) 126 எழுத்துகளுக்கு மேல் இருக்க வேண்டும், மேலும் இடையகத்தை பூஜ்ய எழுத்துக்களால் ('\0') மட்டுமே நிரப்ப முடியும்.
பாதுகாப்பு அல்லாத மாற்றங்கள் அடங்கும்:
- ssh-keygen மற்றும் ssh-keyscan இப்போது SSHFP கைரேகைகளைக் காண்பிப்பதற்கான வழிமுறையைத் தேர்ந்தெடுப்பதற்கான "-Ohashalg=sha1|sha256" அளவுருவை ஆதரிக்கின்றன.
- தனிப்பட்ட விசைகளை ஏற்ற முயற்சிக்காமலோ அல்லது கூடுதல் சரிபார்ப்புகளைச் செய்யாமலோ செயலில் உள்ள உள்ளமைவைப் பாகுபடுத்தி காண்பிக்க "-G" விருப்பம் sshd இல் சேர்க்கப்பட்டுள்ளது, இது விசை உருவாக்கத்திற்கு முன்பு உள்ளமைவு சரிபார்ப்பையும், சலுகையற்ற பயனர்கள் சரிபார்ப்பை இயக்கவும் அனுமதிக்கிறது.
- sshd இயங்குதளத் தனிமைப்படுத்தலை மேம்படுத்தியுள்ளது. Linuxஇது seccomp மற்றும் seccomp-bpf சிஸ்டம் கால் வடிகட்டும் வழிமுறைகளைப் பயன்படுத்துகிறது. அனுமதிக்கப்பட்ட சிஸ்டம் கால்களின் பட்டியலில் mmap, madvise மற்றும் futex-க்கான கொடிகள் சேர்க்கப்பட்டுள்ளன.
ஆதாரம்: opennet.ru
