ಕೆಲವು ದಿನಗಳ ಹಿಂದೆ ಅವರು ತಮ್ಮನ್ನು ತಾವು ಬಹಿರಂಗಪಡಿಸಿಕೊಂಡರು ಸುದ್ದಿ ಕೆಲವು ದೋಷಗಳ ಪತ್ತೆ ನೀವು ಅಪಾಯಕಾರಿ ಎಂದು ಪರಿಗಣಿಸುತ್ತೀರಾ ಫೈರ್ಜೈಲ್, ಕೊನ್ಮನ್ ಮತ್ತು ಗ್ನು ಗಿಕ್ಸ್ನಲ್ಲಿ. ಮತ್ತು ಅದು ಸಂದರ್ಭದಲ್ಲಿ ಸ್ಯಾಂಡ್ಬಾಕ್ಸ್ ಮಾಡಲಾದ ಅಪ್ಲಿಕೇಶನ್ಗಳನ್ನು ಚಲಾಯಿಸಲು ವ್ಯವಸ್ಥೆಯಲ್ಲಿ ಗುರುತಿಸಬಹುದಾದ ದುರ್ಬಲತೆ ಫೈರ್ಜೈಲ್ (ಸಿವಿಇ -2021-26910) ಇದು ಮೂಲ ಬಳಕೆದಾರರಿಗೆ ಸವಲತ್ತುಗಳನ್ನು ಹೆಚ್ಚಿಸಲು ಅನುಮತಿಸುತ್ತದೆ.
ಫೈರ್ಜೈಲ್ ನೇಮ್ಸ್ಪೇಸ್ಗಳನ್ನು ಬಳಸಿ, ಲಿನಕ್ಸ್ನಲ್ಲಿ ಪ್ರತ್ಯೇಕತೆಗಾಗಿ ಆಪ್ಅರ್ಮೋರ್ ಮತ್ತು ಸಿಸ್ಟಮ್ ಕಾಲ್ ಫಿಲ್ಟರಿಂಗ್ (ಸೆಕಾಂಪ್-ಬಿಪಿಎಫ್), ಆದರೆ ಪ್ರತ್ಯೇಕ ಬೂಟ್ ಅನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಲು ಉನ್ನತ ಸವಲತ್ತುಗಳ ಅಗತ್ಯವಿದೆ, ಇದನ್ನು ಸೂಡ್ ರೂಟ್ ಧ್ವಜದೊಂದಿಗೆ ಉಪಯುಕ್ತತೆಗೆ ಬಂಧಿಸುವ ಮೂಲಕ ಅಥವಾ ಸುಡೋನೊಂದಿಗೆ ಚಾಲನೆ ಮಾಡುವ ಮೂಲಕ ಪಡೆಯಬಹುದು.
ಓವರ್ಲೇಎಫ್ಎಸ್ ಫೈಲ್ ಸಿಸ್ಟಮ್ ಅನ್ನು ಬೆಂಬಲಿಸಲು ಕೋಡ್ನಲ್ಲಿನ ದೋಷದಿಂದಾಗಿ ದುರ್ಬಲತೆ ಉಂಟಾಗುತ್ತದೆ, ಪ್ರತ್ಯೇಕ ಪ್ರಕ್ರಿಯೆಯಿಂದ ಮಾಡಿದ ಬದಲಾವಣೆಗಳನ್ನು ಉಳಿಸಲು ಮುಖ್ಯ ಫೈಲ್ ಸಿಸ್ಟಮ್ನ ಮೇಲೆ ಹೆಚ್ಚುವರಿ ಪದರವನ್ನು ರಚಿಸಲು ಇದನ್ನು ಬಳಸಲಾಗುತ್ತದೆ. ಪ್ರಾಥಮಿಕ ಫೈಲ್ ಸಿಸ್ಟಮ್ಗೆ ಓದುವ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಲು ಪ್ರತ್ಯೇಕ ಪ್ರಕ್ರಿಯೆಯನ್ನು is ಹಿಸಲಾಗಿದೆ, ಮತ್ತು ಎಲ್ಲಾ ಬರೆಯುವ ಕಾರ್ಯಾಚರಣೆಗಳನ್ನು ತಾತ್ಕಾಲಿಕ ಸಂಗ್ರಹಣೆಗೆ ಮರುನಿರ್ದೇಶಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ನಿಜವಾದ ಪ್ರಾಥಮಿಕ ಫೈಲ್ ಸಿಸ್ಟಮ್ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುವುದಿಲ್ಲ.
ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ, ಓವರ್ಲೇಎಫ್ಎಸ್ ವಿಭಾಗಗಳನ್ನು ಬಳಕೆದಾರರ ಹೋಮ್ ಡೈರೆಕ್ಟರಿಯಲ್ಲಿ ಜೋಡಿಸಲಾಗಿದೆಉದಾಹರಣೆಗೆ, "/home/test/.firejail/ [[name]" ಒಳಗೆ, ಈ ಡೈರೆಕ್ಟರಿಗಳ ಮಾಲೀಕರು ರೂಟ್ಗೆ ಹೊಂದಿಸಿರುವುದರಿಂದ ಪ್ರಸ್ತುತ ಬಳಕೆದಾರರು ತಮ್ಮ ವಿಷಯವನ್ನು ನೇರವಾಗಿ ಬದಲಾಯಿಸಲು ಸಾಧ್ಯವಿಲ್ಲ.
ಸ್ಯಾಂಡ್ಬಾಕ್ಸ್ ಪರಿಸರವನ್ನು ಹೊಂದಿಸುವಾಗ, ಓವರ್ಲೇಎಫ್ಎಸ್ ತಾತ್ಕಾಲಿಕ ವಿಭಾಗದ ಮೂಲವು ಅಪ್ರತಿಮ ಬಳಕೆದಾರರಿಂದ ಮಾರ್ಪಡಿಸಲಾಗುವುದಿಲ್ಲ ಎಂದು ಫೈರ್ಜೈಲ್ ಪರಿಶೀಲಿಸುತ್ತದೆ. ಕಾರ್ಯಾಚರಣೆಗಳು ಪರಮಾಣುವಾಗಿ ಕಾರ್ಯನಿರ್ವಹಿಸದ ಕಾರಣ ಮತ್ತು ಓಟದ ಸ್ಥಿತಿಯಿಂದಾಗಿ ದುರ್ಬಲತೆಯು ಉಂಟಾಗುತ್ತದೆ ಮತ್ತು ಚೆಕ್ ಮತ್ತು ಆರೋಹಣದ ನಡುವೆ ಒಂದು ಸಣ್ಣ ಕ್ಷಣವಿದೆ, ಇದು ಮೂಲವನ್ನು ಬದಲಾಯಿಸಲು ನಮಗೆ ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ .ಫೈರ್ಜೈಲ್ ಡೈರೆಕ್ಟರಿಯನ್ನು ಡೈರೆಕ್ಟರಿಯೊಂದಿಗೆ ಪ್ರಸ್ತುತ ಬಳಕೆದಾರರು ಬರೆಯುವ ಪ್ರವೇಶವನ್ನು ಹೊಂದಿದ್ದಾರೆ ( ಬಳಕೆದಾರರ ಡೈರೆಕ್ಟರಿಯಲ್ಲಿ .firejail ಅನ್ನು ರಚಿಸಲಾಗಿರುವುದರಿಂದ, ಬಳಕೆದಾರರು ಅದನ್ನು ಮರುಹೆಸರಿಸಬಹುದು).
.Firejail ಡೈರೆಕ್ಟರಿಗೆ ಬರೆಯುವ ಪ್ರವೇಶವನ್ನು ಹೊಂದಿರುವುದು ಆರೋಹಣ ಬಿಂದುಗಳನ್ನು ಅತಿಕ್ರಮಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ ಸಾಂಕೇತಿಕ ಲಿಂಕ್ನೊಂದಿಗೆ ಓವರ್ಲೇಎಫ್ಎಸ್ ಮತ್ತು ಸಿಸ್ಟಮ್ನಲ್ಲಿ ಯಾವುದೇ ಫೈಲ್ ಅನ್ನು ಬದಲಾಯಿಸಿ. ಸಂಶೋಧಕರು ಶೋಷಣೆಯ ಕೆಲಸದ ಮೂಲಮಾದರಿಯನ್ನು ಸಿದ್ಧಪಡಿಸಿದ್ದಾರೆ, ಅದನ್ನು ಫಿಕ್ಸ್ ಬಿಡುಗಡೆಯಾದ ಒಂದು ವಾರದ ನಂತರ ಪ್ರಕಟಿಸಲಾಗುವುದು. ಆವೃತ್ತಿ 0.9.30 ರಿಂದ ಸಮಸ್ಯೆ ಕಾಣಿಸಿಕೊಳ್ಳುತ್ತದೆ. ಆವೃತ್ತಿ 0.9.64.4 ರಲ್ಲಿ, ಓವರ್ಲೇಎಫ್ಎಸ್ ಬೆಂಬಲವನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸುವ ಮೂಲಕ ದುರ್ಬಲತೆಯನ್ನು ನಿರ್ಬಂಧಿಸಲಾಗಿದೆ.
ಪರ್ಯಾಯ ರೀತಿಯಲ್ಲಿ ದುರ್ಬಲತೆಯನ್ನು ನಿರ್ಬಂಧಿಸಲು, "ಇಲ್ಲ" ಮೌಲ್ಯದೊಂದಿಗೆ "ಓವರ್ಲೇಫ್ಸ್" ನಿಯತಾಂಕವನ್ನು /etc/firejail/firejail.config ಗೆ ಸೇರಿಸುವ ಮೂಲಕ ನೀವು ಓವರ್ಲೇಎಫ್ಎಸ್ ಅನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಬಹುದು.
ಎರಡನೆಯ ದುರ್ಬಲತೆ ಗುರುತಿಸಲಾದ ಅಪಾಯಕಾರಿ (ಸಿವಿಇ -2021-26675) ನೆಟ್ವರ್ಕ್ ಕಾನ್ಫಿಗರರೇಟರ್ನಲ್ಲಿದೆ ಕಾನ್ ಮ್ಯಾನ್, ಇದು ಎಂಬೆಡೆಡ್ ಲಿನಕ್ಸ್ ವ್ಯವಸ್ಥೆಗಳು ಮತ್ತು ಐಒಟಿ ಸಾಧನಗಳಲ್ಲಿ ವ್ಯಾಪಕವಾಗಿ ಹರಡಿತು. ದುರ್ಬಲತೆಯು ಆಕ್ರಮಣಕಾರರ ಕೋಡ್ನ ದೂರಸ್ಥ ಕಾರ್ಯಗತಗೊಳಿಸಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ.
ಸಮಸ್ಯೆ ಇದು dnsproxy ಕೋಡ್ನಲ್ಲಿ ಬಫರ್ ಓವರ್ಫ್ಲೋ ಕಾರಣ ಮತ್ತು ಸಂಚಾರವನ್ನು ಮರುನಿರ್ದೇಶಿಸಲು ಡಿಎನ್ಎಸ್ ಪ್ರಾಕ್ಸಿಯನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಲಾಗಿರುವ ಡಿಎನ್ಎಸ್ ಸರ್ವರ್ನಿಂದ ವಿಶೇಷವಾಗಿ ರಚಿಸಲಾದ ಪ್ರತಿಕ್ರಿಯೆಗಳನ್ನು ಹಿಂದಿರುಗಿಸುವ ಮೂಲಕ ಇದರ ಲಾಭವನ್ನು ಪಡೆಯಬಹುದು. ಕಾನ್ ಮ್ಯಾನ್ ಬಳಸುವ ಟೆಸ್ಲಾ ಅವರು ಈ ಸಮಸ್ಯೆಯನ್ನು ವರದಿ ಮಾಡಿದ್ದಾರೆ. ನಿನ್ನೆ ಬಿಡುಗಡೆಯಾದ ಕಾನ್ ಮ್ಯಾನ್ 1.39 ರಲ್ಲಿ ದುರ್ಬಲತೆಯನ್ನು ನಿಗದಿಪಡಿಸಲಾಗಿದೆ.
ಅಂತಿಮವಾಗಿ, ಇತರ ಭದ್ರತಾ ದೋಷಗಳು ಅವರು ಬಿಡುಗಡೆ ಮಾಡಿದರು, ಅದು ವಿತರಣೆಯಲ್ಲಿದೆ ಗ್ನೂ ಗಿಕ್ಸ್ ಮತ್ತು ಸ್ಯೂಡ್-ರೂಟ್ ಫೈಲ್ಗಳನ್ನು / ರನ್ / ಸೆಟ್ಯುಯಿಡ್-ಪ್ರೋಗ್ರಾಂಗಳ ಡೈರೆಕ್ಟರಿಯಲ್ಲಿ ಇರಿಸುವ ವಿಶಿಷ್ಟತೆಗೆ ಸಂಬಂಧಿಸಿದೆ.
ಈ ಡೈರೆಕ್ಟರಿಯಲ್ಲಿನ ಹೆಚ್ಚಿನ ಪ್ರೋಗ್ರಾಂಗಳನ್ನು ಸೆಟ್ಯುಯಿಡ್-ರೂಟ್ ಮತ್ತು ಸೆಟ್ಗಿಡ್-ರೂಟ್ ಧ್ವಜಗಳೊಂದಿಗೆ ರವಾನಿಸಲಾಗಿದೆ, ಆದರೆ ಅವುಗಳನ್ನು ಸೆಟ್ಗಿಡ್-ರೂಟ್ನೊಂದಿಗೆ ಕೆಲಸ ಮಾಡಲು ವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿಲ್ಲ, ಇದನ್ನು ವ್ಯವಸ್ಥೆಯಲ್ಲಿ ಸವಲತ್ತುಗಳನ್ನು ಹೆಚ್ಚಿಸಲು ಸಮರ್ಥವಾಗಿ ಬಳಸಬಹುದು.
ಆದಾಗ್ಯೂ, ಈ ಕಾರ್ಯಕ್ರಮಗಳಲ್ಲಿ ಹೆಚ್ಚಿನವು ಸೆಟ್ಯುಯಿಡ್-ರೂಟ್ನಂತೆ ಕಾರ್ಯನಿರ್ವಹಿಸಲು ವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿದೆ, ಆದರೆ ಸೆಟ್ಗಿಡ್-ರೂಟ್ನಂತೆ ಅಲ್ಲ. ಆದ್ದರಿಂದ, ಈ ಸಂರಚನೆಯು ಸ್ಥಳೀಯ ಸವಲತ್ತು ಹೆಚ್ಚಳದ ಅಪಾಯವನ್ನುಂಟುಮಾಡಿದೆ ("ವಿದೇಶಿ ವಿತರಣೆ" ಯಲ್ಲಿರುವ ಗಿಕ್ಸ್ ಬಳಕೆದಾರರು ಪರಿಣಾಮ ಬೀರುವುದಿಲ್ಲ).
ಈ ದೋಷವನ್ನು ಪರಿಹರಿಸಲಾಗಿದೆ ಮತ್ತು ಬಳಕೆದಾರರು ತಮ್ಮ ವ್ಯವಸ್ಥೆಯನ್ನು ನವೀಕರಿಸಲು ಪ್ರೋತ್ಸಾಹಿಸಲಾಗುತ್ತದೆ….
ಇಲ್ಲಿಯವರೆಗೆ ಈ ಸಮಸ್ಯೆಯ ಶೋಷಣೆ ತಿಳಿದಿಲ್ಲ
ಅಂತಿಮವಾಗಿ ನೀವು ಅದರ ಬಗ್ಗೆ ಇನ್ನಷ್ಟು ತಿಳಿದುಕೊಳ್ಳಲು ಆಸಕ್ತಿ ಹೊಂದಿದ್ದರೆ ವರದಿಯಾದ ದೋಷಗಳ ಟಿಪ್ಪಣಿಗಳ ಬಗ್ಗೆ, ನೀವು ಈ ಕೆಳಗಿನ ವಿವರಗಳನ್ನು ಈ ಕೆಳಗಿನ ಲಿಂಕ್ಗಳಲ್ಲಿ ಪರಿಶೀಲಿಸಬಹುದು.
ಫೈರ್ಜೈಲ್, ಕೊನ್ಮನ್ y ಗ್ನು ಗಿಕ್ಸ್