কিছুদিন আগে তারা নিজের পরিচয় দিয়েছিল খবর কিছু দুর্বলতা সনাক্তকরণ আপনি কি বিপজ্জনক বিবেচনা? ফায়ারগেইলে, কানম্যান এবং জিএনইউ গুইস। এবং যে হয় ক্ষেত্রে স্যান্ডবক্সযুক্ত অ্যাপ্লিকেশন চালানোর জন্য সিস্টেমে দুর্বলতা চিহ্নিত করা হয়েছে ফায়ারজেল (CVE-2021-26910) এটি মূল ব্যবহারকারীকে সুবিধাগুলি উন্নত করতে দেয়।
ফায়ারজেল নেমস্পেস ব্যবহার করুন, অ্যাপঅর্মার এবং লিনাক্সে বিচ্ছিন্নতার জন্য সিস্টেম কল ফিল্টারিং (সেকম্পম্প-বিপিএফ), বিচ্ছিন্ন বুট কনফিগার করতে তবে উন্নততর সুবিধাগুলি প্রয়োজনযা স্যুড রুটের পতাকার সাথে ইউটিলিটির সাথে আবদ্ধ হয়ে বা sudo দিয়ে চালিয়ে প্রাপ্ত করা যায়।
ওভারলেএফএস ফাইল সিস্টেমকে সমর্থন করার জন্য কোডটিতে একটি ত্রুটি থাকার কারণে দুর্বলতা দেখা দেয়, যা বিচ্ছিন্ন প্রক্রিয়া দ্বারা করা পরিবর্তনগুলি সংরক্ষণ করতে প্রধান ফাইল সিস্টেমের উপরে একটি অতিরিক্ত স্তর তৈরি করতে ব্যবহৃত হয়। একটি বিচ্ছিন্ন প্রক্রিয়া প্রাথমিক ফাইল সিস্টেমে পঠিত অ্যাক্সেস পাওয়ার জন্য ধরে নেওয়া হয়, এবং সমস্ত লেখার ক্রিয়াকলাপ অস্থায়ী স্টোরেজে পুনঃনির্দেশিত হয় এবং প্রকৃত প্রাথমিক ফাইল সিস্টেমকে প্রভাবিত করে না।
গতানুগতিক, ওভারলেএফএস পার্টিশনগুলি ব্যবহারকারীর হোম ডিরেক্টরিতে মাউন্ট করা হয়উদাহরণস্বরূপ, "/home/test/.firejail/ [[নাম]" এর অভ্যন্তরে, যখন এই ডিরেক্টরিগুলির মালিককে রুট সেট করা থাকে যাতে বর্তমান ব্যবহারকারী সরাসরি তাদের সামগ্রী পরিবর্তন করতে না পারে।
একটি স্যান্ডবক্স পরিবেশ স্থাপন করার সময়, ফায়ারজেল পরীক্ষা করে যে ওভারলেএফএস অস্থায়ী পার্টিশনের মূলটি কোনও অনিবদ্ধ ব্যবহারকারী দ্বারা পরিবর্তনযোগ্য নয়। দুর্বলতা একটি জাতি শর্তের কারণে ঘটেছিল যে অপারেশনগুলি পরমাণুভাবে সঞ্চালিত হয় না এবং চেক এবং মাউন্টের মধ্যে একটি সংক্ষিপ্ত মুহূর্ত রয়েছে, যা আমাদের বর্তমান ডিরেক্টরিটিতে লেখার প্রবেশাধিকার রয়েছে এমন একটি ডিরেক্টরি দিয়ে রুট। ফায়ারজেল ডিরেক্টরিটি প্রতিস্থাপন করতে দেয় ( যেহেতু .firejail ব্যবহারকারীর ডিরেক্টরিতে তৈরি করা হয়েছিল, ব্যবহারকারী এটির নাম পরিবর্তন করতে পারেন)।
.Firejail ডিরেক্টরিতে লেখার অ্যাক্সেস থাকা আপনাকে মাউন্ট পয়েন্টগুলিকে ওভাররাইড করতে দেয় প্রতীকী লিঙ্ক সহ ওভারলেএফএস এবং সিস্টেমে কোনও ফাইল পরিবর্তন করুন। গবেষক শোষণের একটি কার্যকারী প্রোটোটাইপ প্রস্তুত করেছেন, যা সমাধানটি প্রকাশের এক সপ্তাহ পরে প্রকাশিত হবে। সমস্যাটি 0.9.30 সংস্করণ থেকে প্রদর্শিত হচ্ছে। 0.9.64.4 সংস্করণে ওভারলেএফএস সমর্থন অক্ষম করে দুর্বলতাটিকে অবরুদ্ধ করা হয়েছিল।
বিকল্প পদ্ধতিতে দুর্বলতা অবরুদ্ধ করতে, আপনি /etc/firejail/firejail.config এর সাথে "না" মান সহ "ওভারলেফগুলি" পরামিতি যুক্ত করে ওভারলেএফএস অক্ষম করতে পারেন।
দ্বিতীয় দুর্বলতা বিপজ্জনক যা সনাক্ত করা হয়েছিল (CVE-2021-26675) নেটওয়ার্ক কনফিগারারে ছিল কনমনযা এম্বেড থাকা লিনাক্স সিস্টেম এবং আইওটি ডিভাইসে ব্যাপক আকার ধারণ করেছে। দুর্বলতা সম্ভাব্যভাবে আক্রমণকারীর কোডের রিমোট কার্যকর করতে অনুমতি দেয়।
সমস্যা এটি ডিএনস্প্রোক্সি কোডে একটি বাফার ওভারফ্লোর কারণে এবং ডিএনএস সার্ভার থেকে ট্র্যাফিক পুনর্নির্দেশের জন্য ডিএনএস প্রক্সি কনফিগার করা হয়েছে এমন বিশেষ কারুকৃত প্রতিক্রিয়াগুলি ফিরিয়ে নিয়ে এর সুবিধা নেওয়া যেতে পারে। টেসলা, যিনি কানমন ব্যবহার করেন, সে সমস্যার কথা জানিয়েছেন। গতকাল প্রকাশিত কানমন 1.39 এ দুর্বলতা স্থির করা হয়েছিল।
পরিশেষে, অন্যান্য সুরক্ষা দুর্বলতা তিনি মুক্তি দিয়েছেন, এটি বিতরণ ছিল জিএনইউ গুইস এবং / রান / সেটুয়েড-প্রোগ্রাম ডিরেক্টরিতে স্যুইড-রুট ফাইল স্থাপনের অদ্ভুততার সাথে সম্পর্কিত।
এই ডিরেক্টরিতে বেশিরভাগ প্রোগ্রামগুলি সেটুইড-রুট এবং সেটজিড-রুট পতাকা সহ প্রেরণ করা হয়েছিল, তবে সেগুলি সেটগিড-রুটের সাথে কাজ করার জন্য ডিজাইন করা হয়নি, যা সম্ভবত সিস্টেমে সুযোগ-সুবিধা বাড়ানোর জন্য ব্যবহৃত হতে পারে।
তবে এই প্রোগ্রামগুলির বেশিরভাগটি সেটুইড-রুট হিসাবে চালানোর জন্য ডিজাইন করা হয়েছে, তবে সেটগিড-রুট হিসাবে নয়। সুতরাং, এই কনফিগারেশনের ফলে স্থানীয় সুবিধাগুলি বৃদ্ধির ঝুঁকি রয়েছে ("বিদেশী বিতরণ" এর গুইস ব্যবহারকারীরা ক্ষতিগ্রস্থ হন না)।
এই বাগটি ঠিক করা হয়েছে এবং ব্যবহারকারীরা তাদের সিস্টেম আপডেট করার জন্য উত্সাহিত করা হচ্ছে…।
আজ পর্যন্ত এই সমস্যাটির কোনও ज्ञিত শোষণ নেই
পরিশেষে আপনি যদি এটি সম্পর্কে আরও জানতে আগ্রহী হন রিপোর্ট করা দুর্বলতার নোট সম্পর্কে, আপনি নীচের লিঙ্কগুলিতে এই বিষয়ে বিশদটি পরীক্ষা করতে পারেন।
ফায়ারজেল, কানম্যান y জিএনইউ গুইস