I kitea he whakakahore i te whakaraeraetanga ratonga e pa ana ki te punaha

I etahi ra kua pahure ake nei ka puta te korero ko te roopu tirotiro o I kitea e Qualys he whakakahore i te whakaraeraetanga o te ratonga na te ngoikore o te raupaparorohiko, na reira ka taea e tetahi kaiwhakamahi kore-painga te whakamahi i tenei whakaraeraetanga ki te aukati i te punahad.

Whakaraerae kua whakararangihia hei (CVE-2021-33910) E whakahuatia ana ka pangia e te punaha he ngoikore i te wa e ngana ana ki te whakaara i tetahi whaiaronga me te rahinga ara nui atu i te 8 MB na roto i a FUSE, ka pau nga mahara puranga a te tukanga arawhiti (PID1) ka raka, ka tuu i te punaha kei te ahua "ohorere".

I whakauruhia tenei whakaraerae ki te systemd v220 (Apr 2015) na te mahi 7410616c ("kernel: rework unit name manipulation and validation valid"), i whakakapi i te strdup () i runga i te puranga me te strdupa () i roto i te puhiko. Ma te angitu o te whakaraerae i tenei whakaraerae ka taea e tetahi kaiwhakamahi kore rangatira te whakakahore i te ratonga na roto i te porearea o te pata.

I te wa i whakapumautia e te roopu rangahau o Qualys te whakaraerae, i uru a Qualys ki te whakaatu kawenga o te whakaraerae me te mahi tahi me te kaituhi me nga tohatoha tuwhera puna hei whakaputa i te whakaraerae.

E kii ana nga Kairangahau te raru e pa ana ki te CVE-2021-33910 ka ara ake na te mea Ka aroturukihia e te punaha nga tuhinga o te / proc / whaiaro / mountinfo a ka whakahaerehia e ia nga waahi maunga ki te mahi waeine_name_path_escape () hei mahi ka kiia he "strdupa ()" hei mahi ma te tohatoha i nga raraunga ki te puranga kaore ki te puranga.

Koira te take mai i muri te rahinga rahinga puranga kua whakaaetia he iti na te mahi "RLIMIT_STACK", he roa na te roa o te ara ki te maunga whakapiri ka whakairi te tukanga "PID1" e arahina ana ki te punaha ka mutu.

Hei taapiri, e kii ana raatau mo te whakaeke kia pai ai te mahi, ka taea te whakamahi i te waahanga FUSE ngawari rawa atu me te whakamahi i tetahi whaiaronga tino kohanga hei tohu maunga, ko te rahi o te ara e nui atu ana i te 8 MB.

Tambien He mea nui ki te whakahua ko nga Kairangahau o te Tohu whakahua i tetahi keehi motuhake me te whakaraerae, mai i ina koa ko te putanga 248, kaore e whakamahia te mahi na te bug i te mea kei roto i te waehere systemd e kore ai e whai / hoko / i a koe ano / mountinfo. He mea whakamiharo ano te ahua rite i tupu i te tau 2018, i te wa e ngana ana ki te tuhi mahi mo te whakaraerae CVE-2018-14634 i roto i te pata Linux, i kitea e nga kairangahau o Qualys etahi atu whakaraerae kino e toru i te punaha.

Mo te whakaraerae te kapa Red Hat i whakahuatia ko nga hua e ea ana ki te RHEL ka raru pea.

Kei roto i tenei:

  • Nga ipu hua e hangai ana ki nga ahua ipu RHEL, UBI ranei. Ko enei whakaahua ka whakahoutia i nga waa katoa, ana ko te waahi o te ipu e tohu ana kei te waatea he whakatika mo tenei kohakore ka tirohia i te Tohu Hauora Ipu, he waahanga o te Pouaka Whero Whero (https://access.redhat.com/containers) .
  • Nga hua e toia ana i nga kohinga mai i te teihana RHEL. Kia mahara ki nga waahanga o te Red Hat Enterprise Linux me te waahanga tae atu ki tenei waahanga hua.

Na te whanui o te papa whakaeke o tenei whakaraerae, Ka taunaki a Qualys ki nga kaiwhakamahi ki te whakamahi i nga waahanga tika (i tukuna nei i nga ra kua pahure ake nei) mo tenei whakaraerae tonu.

Ka rite ki te korero kua puta te raru mai systemd 220 (Apr 2015) me kua oti te whakarite i roto i Tuhinga o mua systemd a kua oti te whakarite mo te nuinga o nga tohatoha Ko te matua o Linux, me ona taaputanga, ka taea e koe te tirotiro i te mana o nga hononga e whai ake nei (Debian, Ubuntu, Fedora, RHEL, SUSE, kikorangi).

Hei whakamutunga, mena kei te hiahia koe ki te mohio atu mo tenei mea mo tenei whakaraerae, ka taea e koe te tirotiro i nga korero taipitopito I roto i te hono e whai ake nei.


Ko nga korero o te tuhinga e piri ana ki o maatau kaupapa o matatika whakatika. Ki te ripoata i tetahi paatene paato Here.

Hei tuatahi ki te korero

Waiho to korero

Ka kore e whakaputaina tō wāhitau īmēra. Kua tohua ngā āpure e hiahiatia ana ki *

*

*

  1. He kawenga mo nga raraunga: Miguel Ángel Gatón
  2. Te kaupapa o te raraunga: Whakahaerehia te SPAM, te whakahaere korero.
  3. Ture: To whakaae
  4. Whakawhitinga korero: Kaore nga korero e tukuna ki nga taha tuatoru engari ma te ture herenga.
  5. Rokiroki raraunga: Paetukutuku e whakahaerehia ana e Occentus Networks (EU)
  6. Tika: I nga wa katoa ka taea e koe te whakaiti, te whakaora me te muku i o korero.