آسیب پذیری OpenSSH Command Injection



من یک بررسی داشتم و با مشکل زیر مواجه شدم

آیا کسی این مشکل را داشته و اگر دارد چگونه آن را حل کرده است؟

 
“OpenSSH (OpenBSD Secure Shell) مجموعه ای از برنامه های کامپیوتری است که جلسات ارتباط رمزگذاری شده را روی یک شبکه کامپیوتری با استفاده از پروتکل SSH ارائه می دهد.
OpenSSH شامل آسیب پذیری های زیر است:
 
OpenSSH از طریق 8.3p1 امکان تزریق دستور را در تابع toremote scp.c می دهد، همانطور که توسط کاراکترهای بکتیک در آرگومان مقصد نشان داده شده است. توجه: طبق گزارش‌ها، فروشنده اعلام کرده است که آنها عمداً اعتبار «انتقال‌های آرگومان غیرعادی» را حذف می‌کنند، زیرا این می‌تواند «احتمال زیادی برای شکستن جریان‌های کاری موجود داشته باشد.
 
نسخه های تحت تأثیر:
نسخه های OpenSSH قبل از 8.3
 
به مشتریان توصیه می شود که به OpenSSH 8.3 ارتقاء دهند (https://www.openssh.com/) یا بعد از آن برای رفع این آسیب پذیری ها.
پچ:
لینک های زیر برای دانلود وصله ها برای رفع آسیب پذیری ها آمده است:
منطق تشخیص QID:
این تشخیص تایید نشده با بررسی نسخه سرویس OpenSSH کار می کند.
 
SSH-2.0-OpenSSH_8.0 PKIX آسیب پذیر[Portable] در پورت 22 از طریق TCP شناسایی شد.”
 
 



منبع: https://community.hpe.com/t5/software-general/openssh-command-injection-vulnerability/m-p/7202255#M919

تحریریه مجله اچ پی