புரோஹோஸ்டர் > Блог > இணைய செய்தி > பாதுகாப்பு திருத்தங்களுடன் OpenSSH 9.3 மேம்படுத்தல்

பாதுகாப்பு திருத்தங்களுடன் OpenSSH 9.3 மேம்படுத்தல்

OpenSSH 9.3 இன் வெளியீடு வெளியிடப்பட்டது, இது SSH 2.0 மற்றும் SFTP நெறிமுறைகளைப் பயன்படுத்தி வேலை செய்வதற்கான கிளையன்ட் மற்றும் சேவையகத்தின் திறந்த செயலாக்கமாகும். புதிய பதிப்பு பாதுகாப்பு சிக்கல்களை சரிசெய்கிறது:

  • ssh-add பயன்பாட்டில் ஒரு தருக்கப் பிழை கண்டறியப்பட்டது, இதன் காரணமாக, ஸ்மார்ட் கார்டுகளுக்கான விசைகளை ssh-agent இல் சேர்க்கும்போது, ​​“ssh-add -h” விருப்பத்தைப் பயன்படுத்தி குறிப்பிடப்பட்ட கட்டுப்பாடுகள் முகவருக்கு அனுப்பப்படவில்லை. இதன் விளைவாக, ஏஜெண்டில் ஒரு விசை சேர்க்கப்பட்டது, இதற்கு எந்த கட்டுப்பாடுகளும் பயன்படுத்தப்படவில்லை, குறிப்பிட்ட ஹோஸ்ட்களிடமிருந்து மட்டுமே இணைப்புகளை அனுமதிக்கிறது.
  • உள்ளமைவு கோப்பில் VerifyHostKeyDNS அமைப்பு இயக்கப்பட்டிருந்தால், சிறப்பாக வடிவமைக்கப்பட்ட DNS பதில்களைச் செயலாக்கும் போது, ​​ஒதுக்கப்பட்ட இடையகத்திற்கு வெளியே உள்ள அடுக்குப் பகுதியிலிருந்து தரவைப் படிக்க வழிவகுக்கும் ssh பயன்பாட்டில் ஒரு பாதிப்பு கண்டறியப்பட்டுள்ளது. வெளிப்புற ldns நூலகத்தைப் பயன்படுத்தாமல் (-with-ldns) தொகுக்கப்பட்ட OpenSSH இன் போர்ட்டபிள் பதிப்புகளிலும், getrrsetbyname ஐ ஆதரிக்காத நிலையான நூலகங்களைக் கொண்ட கணினிகளிலும் பயன்படுத்தப்படும் getrrsetbyname() செயல்பாட்டின் உள்ளமைக்கப்பட்ட செயலாக்கத்தில் சிக்கல் உள்ளது. ) அழைப்பு. ssh கிளையண்டிற்கு சேவை மறுப்பைத் தொடங்குவதைத் தவிர, பாதிப்பைச் சுரண்டுவதற்கான சாத்தியக்கூறுகள் சாத்தியமில்லை என மதிப்பிடப்படுகிறது.

கூடுதலாக, OpenSSH இல் பயன்படுத்தப்படும் OpenBSD இல் சேர்க்கப்பட்டுள்ள libskey நூலகத்தில் ஒரு பாதிப்பை நீங்கள் கவனிக்கலாம். 1997 ஆம் ஆண்டு முதல் இந்தச் சிக்கல் உள்ளது, மேலும் சிறப்பாக வடிவமைக்கப்பட்ட ஹோஸ்ட்பெயர்களைச் செயலாக்கும்போது ஸ்டாக் பஃபர் வழிதல் ஏற்படலாம். பாதிப்பின் வெளிப்பாடானது OpenSSH வழியாக தொலைவிலிருந்து தொடங்கப்பட்டாலும், நடைமுறையில் பாதிப்பு பயனற்றது, ஏனெனில் அது வெளிப்பட, தாக்கப்பட்ட ஹோஸ்ட்டின் பெயர் (/etc/hostname) மேலும் இருக்க வேண்டும். 126 எழுத்துகள், மற்றும் இடையகமானது பூஜ்ஜியக் குறியீடு ('\0') கொண்ட எழுத்துக்களால் மட்டுமே நிரம்பி வழியும்.

பாதுகாப்பு அல்லாத மாற்றங்கள் அடங்கும்:

  • "-Ohashalg=sha1|sha256" அளவுருவிற்கு ssh-keygen மற்றும் ssh-keyscan க்கு SSHFP nugget காட்சி அல்காரிதத்தைத் தேர்ந்தெடுக்க ஆதரவு சேர்க்கப்பட்டது.
  • sshd ஆனது தனிப்பட்ட விசைகளை ஏற்ற முயற்சிக்காமலும், கூடுதல் சரிபார்ப்புகளைச் செய்யாமலும் செயலில் உள்ள உள்ளமைவை அலசுவதற்கும் காட்டுவதற்கும் "-G" விருப்பத்தைச் சேர்த்துள்ளது, இது விசை உருவாக்கத்திற்கு முன் உள்ள கட்டத்தில் உள்ளமைவைச் சரிபார்த்து, சலுகையற்ற பயனர்களால் காசோலையை இயக்க அனுமதிக்கிறது.
  • sshd seccomp மற்றும் seccomp-bpf அமைப்பு அழைப்பு வடிகட்டுதல் வழிமுறைகளைப் பயன்படுத்தி லினக்ஸ் இயங்குதளத்தில் தனிமைப்படுத்தலை மேம்படுத்துகிறது. அனுமதிக்கப்பட்ட கணினி அழைப்புகளின் பட்டியலில் mmap, madvise மற்றும் futexக்கான கொடிகள் சேர்க்கப்பட்டுள்ளன.

ஆதாரம்: opennet.ru

கருத்தைச் சேர்