أقر مطورو أداة “OpenSSH” ـ وهي مجموعةٌ من أدوات الاتصال، تساعد المستخدمين على تشفير حركة المرور الخاصة بجلسات عملهم على الإنترنت ـ بوجود ثغرات “فساد الذاكرة” في بعض إصدارات المجموعة الرئيسية؛ حيث قاموا بإصلاحها خلال نهاية الأسبوع.
ففي حال استغلال هذه الثغرة الأمنية الموجودة في الإصدارين 6.2، و6.3 من قِبَل أداة “OpenSSH”، قد يتسبب ذلك – وفقًا لتقرير الأمن المنشور على موقع المجموعة – إلى إحداث خللٍ في “تنفيذ رمز المصادقة”.
تنشأ المشكلة الرئيسية من عملية ما بعد المصادقة لمُحرك الأقراص المختلط ذي الحالة الصلبة “SSHD”، والشفرة “AES-GCM”، وذلك أثناء تبادل مفاتيح التشفير؛ حيث لم يقم محرك الأقراص المختلط ذي الحالة الصلبة “SSHD” بإصدار رمز المصادقة للرسالة (MAC)، بل “استمر استدعاء حذف البيانات أثناء عملية إعادة صياغة مفاتيح التشفير”.
توفر رموز المصادقة الدقيقة للرسالة (MACs) تأمينًا وحمايةً أفضل لمحرك الأقراص المختلط ذي الحالة الصلبة “SSHD”، من خلال حماية سلامة البيانات.
إلا أن رمز المصادقة للرسالة (MAC) في هذه الحالة لم يتم استخدامه، والعنوان الذي تم استدعاؤه من مجموعةٍ سابقة، كان من المحتويات المخَزَّنة للذاكرة.
يزعم التقرير أن نظام التشغيل “OpenBSD” الذي طور مجموعة الأدوات تلك، قد عالج المشكلة عن طريق “التحميل المُسبق للمحتويات المخَزَّنة، التي بعنوان: إعادة اتصال مفيد”، وبواسطة تفعيل وتنفيذ حماية “عشوائية تصميم حيِّز العنوان”، أو ما يُعرَف بـ “address-space layout randomization- ASLR” في محرك الأقراص المختلط ذي الحالة الصلبة، والمكتبات المشتركة التي يعتمد عليها.
يُشجع المطورون المستخدمين على، إما تعطيل الشفرات المزعجة، أو تفعيل ملف التصحيح المتوفر على موقع المجموعة، أو الترقية واستخدام التحديث الجديد “OpenSSH 6.4“، الذي تم إطلاقه يوم الجمعة.
تُعد معالجة هذه الثغرة الأمنية تغييرًا سريعًا لأداة “OpenSSH”. وكان المُبرمِج الألماني، وأحد مطوري تلك الأداة: ماركوس فريدل، أول من اكتشف هذه الثغرة الأمنية، وبلَّغ عنها قبل يومٍ واحدٍ فقط من إصدار التحديث، وكان ذلك يوم الخميس.
النصائح