ஃபயர்ஜெயில், கான்மேன் மற்றும் குனு கிக்ஸ் ஆகியவற்றில் ஆபத்தான பாதிப்புகள் அடையாளம் காணப்பட்டன

சில நாட்களுக்கு முன்பு அவர்கள் தங்களைத் தெரியப்படுத்திக் கொண்டனர் செய்தி சில பாதிப்புகளைக் கண்டறிதல் நீங்கள் ஆபத்தானதாக கருதுகிறீர்களா? ஃபயர்ஜெயில், கான்மேன் மற்றும் குனு கிக்ஸ் ஆகியவற்றில். அதுதான் விஷயத்தில் சாண்ட்பாக்ஸ் செய்யப்பட்ட பயன்பாடுகளை இயக்குவதற்கான கணினியில் அடையாளம் காணக்கூடிய பாதிப்பு ஃபயர்ஜெயில்  (சி.வி.இ -2021-26910) இது ரூட் பயனருக்கு சலுகைகளை உயர்த்த அனுமதிக்கிறது.

ஃபயர்ஜெயில் பெயர்வெளிகளைப் பயன்படுத்தவும், லினக்ஸில் தனிமைப்படுத்த AppArmor மற்றும் கணினி அழைப்பு வடிகட்டுதல் (seccomp-bpf), ஆனால் தனிமைப்படுத்தப்பட்ட துவக்கத்தை உள்ளமைக்க உயர்ந்த சலுகைகள் தேவை, இது சூட் ரூட் கொடியுடன் பயன்பாட்டுடன் பிணைப்பதன் மூலம் அல்லது சூடோவுடன் இயங்குவதன் மூலம் பெறலாம்.

மேலடுக்கு எஃப்எஸ் கோப்பு முறைமையை ஆதரிப்பதற்கான குறியீட்டில் உள்ள குறைபாட்டால் பாதிப்பு ஏற்படுகிறது, தனிமைப்படுத்தப்பட்ட செயல்முறையால் செய்யப்பட்ட மாற்றங்களைச் சேமிக்க பிரதான கோப்பு முறைமையின் மேல் கூடுதல் அடுக்கை உருவாக்க இது பயன்படுகிறது. முதன்மை கோப்பு முறைமைக்கு வாசிப்பு அணுகலைப் பெறுவதற்கு ஒரு தனிமைப்படுத்தப்பட்ட செயல்முறை கருதப்படுகிறது, மேலும் அனைத்து எழுதும் செயல்பாடுகளும் தற்காலிக சேமிப்பகத்திற்கு திருப்பி விடப்படுகின்றன, மேலும் அவை உண்மையான முதன்மை கோப்பு முறைமையை பாதிக்காது.

இயல்பாக, மேலடுக்கின் பகிர்வுகள் பயனரின் வீட்டு அடைவில் ஏற்றப்பட்டுள்ளனஎடுத்துக்காட்டாக "/home/test/.firejail/ [[name]" க்குள், இந்த கோப்பகங்களின் உரிமையாளர் வேராக அமைக்கப்பட்டிருக்கும், இதனால் தற்போதைய பயனரால் அவற்றின் உள்ளடக்கத்தை நேரடியாக மாற்ற முடியாது.

சாண்ட்பாக்ஸ் சூழலை அமைக்கும் போது, மேலடுக்கு எஃப்எஸ் தற்காலிக பகிர்வின் வேர் தகுதியற்ற பயனரால் மாற்றப்படாது என்பதை ஃபயர்ஜெயில் சரிபார்க்கிறது. செயல்பாடுகள் அணு ரீதியாக செய்யப்படாத காரணத்தினாலும், காசோலைக்கும் ஏற்றத்திற்கும் இடையில் ஒரு குறுகிய தருணம் இருப்பதால், பாதிப்பு ஏற்படுகிறது. இது ரூட் .ஃபைர்ஜெயில் கோப்பகத்தை ஒரு கோப்பகத்துடன் மாற்ற அனுமதிக்கிறது, அங்கு தற்போதைய பயனருக்கு எழுத்து அணுகல் உள்ளது ( பயனரின் கோப்பகத்தில் .firejail உருவாக்கப்பட்டதால், பயனர் அதை மறுபெயரிடலாம்).

.Firejail கோப்பகத்திற்கு எழுத அணுகல் இருப்பதால், மவுண்ட் புள்ளிகளை மேலெழுத அனுமதிக்கிறது ஒரு குறியீட்டு இணைப்புடன் மேலடுக்கு மற்றும் கணினியில் எந்த கோப்பையும் மாற்றவும். ஆய்வாளர் சுரண்டலின் வேலை செய்யும் முன்மாதிரி ஒன்றைத் தயாரித்துள்ளார், இது திருத்தம் வெளியான ஒரு வாரத்திற்குப் பிறகு வெளியிடப்படும். பதிப்பு 0.9.30 முதல் சிக்கல் தோன்றும். பதிப்பு 0.9.64.4 இல், மேலடுக்கு எஃப்எஸ் ஆதரவை முடக்குவதன் மூலம் பாதிப்பு தடுக்கப்பட்டது.

மாற்று வழியில் பாதிப்பைத் தடுக்க, /etc/firejail/firejail.config க்கு "இல்லை" மதிப்புடன் "மேலடுக்கு" அளவுருவைச் சேர்ப்பதன் மூலம் மேலடுக்கு FS ஐ முடக்கலாம்.

இரண்டாவது பாதிப்பு அடையாளம் காணப்பட்ட ஆபத்தானது (CVE-2021-26675) பிணைய உள்ளமைவில் இருந்தது கோன்மேன், இது உட்பொதிக்கப்பட்ட லினக்ஸ் அமைப்புகள் மற்றும் IoT சாதனங்களில் பரவலாகிவிட்டது. பாதிப்பு என்பது தாக்குபவரின் குறியீட்டை தொலைவிலிருந்து செயல்படுத்த அனுமதிக்கிறது.

பிரச்சனை இது dnsproxy குறியீட்டில் ஒரு இடையக வழிதல் காரணமாகும் போக்குவரத்தை திருப்பிவிட டிஎன்எஸ் ப்ராக்ஸி கட்டமைக்கப்பட்ட டிஎன்எஸ் சேவையகத்திலிருந்து சிறப்பாக வடிவமைக்கப்பட்ட பதில்களை திருப்பி அனுப்புவதன் மூலம் இது பயன்படுத்தப்படலாம். கோன்மேனைப் பயன்படுத்தும் டெஸ்லா, சிக்கலைப் புகாரளித்துள்ளார். நேற்று வெளியான கான்மேன் 1.39 இல் பாதிப்பு சரி செய்யப்பட்டது.

இறுதியாக, பிற பாதுகாப்பு பாதிப்புகள் அவர் விடுவித்தார், அது விநியோகத்தில் இருந்தது குனு கிக்ஸ் மற்றும் / ரன் / செட்யூட்-புரோகிராம் கோப்பகத்தில் சூட்-ரூட் கோப்புகளை வைப்பதன் தனித்தன்மையுடன் தொடர்புடையது.

இந்த கோப்பகத்தில் உள்ள பெரும்பாலான நிரல்கள் செட்யூட்-ரூட் மற்றும் செட்கிட்-ரூட் கொடிகளுடன் அனுப்பப்பட்டன, ஆனால் அவை செட்கிட்-ரூட் உடன் வேலை செய்ய வடிவமைக்கப்படவில்லை, அவை கணினியில் சலுகைகளை உயர்த்துவதற்கு பயன்படுத்தப்படலாம்.

இருப்பினும், இந்த நிரல்களில் பெரும்பாலானவை செட்யூட்-ரூட்டாக இயங்க வடிவமைக்கப்பட்டுள்ளன, ஆனால் செட்ஜிட்-ரூட்டாக அல்ல. எனவே, இந்த உள்ளமைவு உள்ளூர் சலுகை அதிகரிக்கும் அபாயத்தை ஏற்படுத்தியுள்ளது ("வெளிநாட்டு விநியோகத்தில்" உள்ள கிக்ஸ் பயனர்கள் பாதிக்கப்படுவதில்லை).

இந்த பிழை சரி செய்யப்பட்டது மற்றும் பயனர்கள் தங்கள் கணினியைப் புதுப்பிக்க ஊக்குவிக்கப்படுகிறார்கள்….

இந்த சிக்கலை சுரண்டுவது இன்றுவரை அறியப்படவில்லை

இறுதியாக நீங்கள் அதைப் பற்றி மேலும் அறிய ஆர்வமாக இருந்தால் புகாரளிக்கப்பட்ட பாதிப்புகளின் குறிப்புகளைப் பற்றி, பின்வரும் இணைப்புகளில் இது தொடர்பான விவரங்களை நீங்கள் சரிபார்க்கலாம்.

ஃபயர்ஜெயில், கான்மேன் y குனு கிக்ஸ்


கருத்து தெரிவிப்பதில் முதலில் இருங்கள்

உங்கள் கருத்தை தெரிவிக்கவும்

உங்கள் மின்னஞ்சல் முகவரி வெளியிடப்பட்ட முடியாது. தேவையான புலங்கள் குறிக்கப்பட்டிருக்கும் *

*

*

  1. தரவுக்கு பொறுப்பு: மிகுவல் ஏஞ்சல் கேடன்
  2. தரவின் நோக்கம்: கட்டுப்பாட்டு ஸ்பேம், கருத்து மேலாண்மை.
  3. சட்டபூர்வமாக்கல்: உங்கள் ஒப்புதல்
  4. தரவின் தொடர்பு: சட்டபூர்வமான கடமையால் தவிர மூன்றாம் தரப்பினருக்கு தரவு தெரிவிக்கப்படாது.
  5. தரவு சேமிப்பு: ஆக்சென்டஸ் நெட்வொர்க்குகள் (EU) வழங்கிய தரவுத்தளம்
  6. உரிமைகள்: எந்த நேரத்திலும் உங்கள் தகவல்களை நீங்கள் கட்டுப்படுத்தலாம், மீட்டெடுக்கலாம் மற்றும் நீக்கலாம்.