A biztonság meg lesz fokozva...

... ha az OpenSSH az ő kegyes jóságában a sikeres authentikáció után még egy sandbox-ot is létesít, amiben a használható rendszerhívásokat is korlátozza. Na ebben a sandboxban futtatna aztán valamilyen libcrypto-t is használó komponenst...

... dehát az OpenSSL maga is egy elő dolog, ha például az 1.1.1.b változat még nem használta is (mondjuk) a socket(2) rendszerhívást, az 1.1.1.s változat esetleg már használhatja.

Illetve nem használhatja, ha OpenSSH nem gondolja úgy, ekkor viszont a SIGSYS nevű szignálban gyönyörködhetünk, viszont a rendszerünkbe többé nem jutunk be ezen az úton.

Az egyetlen jó hír a történetben, hogy már mások is ráfaragtak erre: https://www.google.com/search?q=openssl+sandbox+sigsys

Ja és a megoldás: újabb OpenSSH telepítése (8.7 pl jó). (Mármint ha van még valamilyen bejáratunk a rendszerbe.)

Hozzászólások

"Mármint ha van még valamilyen bejáratunk a rendszerbe." - DB9, 9600,8,N,1 aztán jó'van :-D