Pppd தொகுப்பில் உள்ள பாதிப்பு இப்போது பொதுமக்களுக்கு வெளிப்படுத்தப்பட்டுள்ளது (சி.வி.இ -2020-8597) இது சில வி.பி.என் சேவைகள், டி.எஸ்.எல் இணைப்புகள் மற்றும் ஈதர்நெட்டையும் கடுமையாக பாதிக்கிறது பிபிபி (பாயிண்ட்-டு-பாயிண்ட் புரோட்டோகால்) அல்லது பிபிபிஓஇ (ஈதர்நெட்டுக்கு மேல் பிபிபி) பயன்படுத்தும் அமைப்புகளுக்கு விசேஷமாக வடிவமைக்கப்பட்ட அங்கீகார கோரிக்கைகளை அனுப்பும் குறியீட்டை இயக்க அனுமதிக்கப்பட்டதால்.
நாம் குறிப்பிட்டுள்ளபடி, பல்வேறு வழங்குநர்கள் பெரும்பாலும் இந்த நெறிமுறைகளைப் பயன்படுத்துகின்றனர் ஈத்தர்நெட் அல்லது டி.எஸ்.எல் வழியாக இணைப்புகளை நிறுவவும், சில வி.பி.என் களில் பயன்படுத்தப்படுகின்றன எ.கா. பி.டி.பி.டி மற்றும் ஓபன்ஃபோர்டிவ்பிஎன்.
சிக்கல்களுக்கு அமைப்புகளின் எளிதில் சோதிக்க, ஒரு சுரண்டல் முன்மாதிரி தயாரிக்கப்பட்டது, இது ஏற்கனவே இது பொது மக்களுக்கு கிடைக்கிறது.
தீர்ப்பைப் பற்றி
இடையக வழிதல் காரணமாக பாதிப்பு ஏற்படுகிறது எக்ஸ்டென்சிபிள் அங்கீகார நெறிமுறை (ஈஏபி) செயல்படுத்தலில்.
கூடுதல் தர்க்கக் குறைபாடு eap_input () செயல்பாட்டை வரி கட்டுப்பாட்டு நெறிமுறை (LCP) கட்டத்தின் போது EAP பேச்சுவார்த்தை நடத்தப்பட்டதா என்பதை சரிபார்க்கவில்லை.
இது அங்கீகரிக்கப்படாத தாக்குபவர் ஒரு EAP பாக்கெட்டை அனுப்ப அனுமதிக்கிறது ஈ.ஏ.பி ஆதரவு இல்லாததால் அல்லது எல்.சி.பி கட்டத்தில் ஒப்புக் கொள்ளப்பட்ட முன் பகிரப்பட்ட கடவுச்சொற்றொடரின் பொருத்தமின்மை காரணமாக அங்கீகார பேச்சுவார்த்தையை பிபிபி நிராகரித்தாலும் கூட.
Eap_input இல் பாதிக்கப்படக்கூடிய pppd குறியீடு தொடர்ந்து EAP பாக்கெட்டை செயலாக்குகிறது மற்றும் ஸ்டாக் பஃபர் வழிதல் தூண்டுகிறது.
அறியப்படாத அளவின் இந்த சரிபார்க்கப்படாத தரவு இலக்கு அமைப்பின் நினைவகத்தை சிதைக்க பயன்படுத்தப்படலாம். பிபிடி பெரும்பாலும் உயர் சலுகைகளுடன் (கணினி அல்லது ரூட்) இயங்குகிறது மற்றும் கர்னல் இயக்கிகளுடன் இணைந்து செயல்படுகிறது. இது தாக்குதல் செய்பவர் ரூட் அல்லது கணினி நிலை சலுகைகளுடன் தன்னிச்சையான குறியீட்டை இயக்குவதை சாத்தியமாக்குகிறது.
அதனுடன், அங்கீகாரத்திற்கு முன் ஒரு தாக்குதலை மேடையில் செய்ய முடியும் ஒதுக்கப்பட்ட இடையகத்தில் பொருந்தாத மிக நீண்ட ஹோஸ்ட்பெயர் உட்பட, EAPT_MD5CHAP வகை கொண்ட ஒரு பாக்கெட்டை அனுப்புவதன் மூலம் கடந்து செல்லுங்கள்.
ரோஸ்ட் பெயர் புலத்தின் அளவை சரிபார்க்க குறியீட்டில் உள்ள பிழை காரணமாக, தாக்குபவர் இடையகத்திற்கு வெளியே தரவை மேலெழுத முடியும் ரூட் சலுகைகளுடன் உங்கள் குறியீட்டின் தொலைநிலை செயல்பாட்டை அடையலாம்.
பாதிப்பு சேவையகம் மற்றும் கிளையன்ட் பக்கத்தில் வெளிப்படுகிறது, அதாவது சேவையகத்தைத் தாக்க முடியாது, ஆனால் கிளையன்ட் தாக்குபவரால் கட்டுப்படுத்தப்படும் சேவையகத்துடன் இணைக்க முயற்சிக்கிறார் (எடுத்துக்காட்டாக, தாக்குபவர் முதலில் சேவையகத்தை பாதிப்புக்குள்ளாக்குவதன் மூலம் ஹேக் செய்து பின்னர் இணைக்கும் வாடிக்கையாளர்களைத் தாக்கத் தொடங்கலாம்).
பாதிப்பு lwIP அடுக்கையும் பாதிக்கிறது, ஆனால் lwIP இல் இயல்புநிலை அமைப்புகளில் EAP ஆதரவு இயக்கப்படவில்லை.
பாதிக்கப்பட்ட பதிப்புகள் மற்றும் தீர்வு
இது போன்ற தவறு கண்டறியப்பட்டது pppd பதிப்புகள் 2.4.2 முதல் 2.4.8 வரை பாதிக்கிறது உள்ளடக்கியது மற்றும் ஒரு இணைப்பு வடிவத்தில் தீர்க்கப்படுகிறது. பொது மக்களுக்கு பிழை வெளிப்படுத்துதல் கண்டுபிடிக்கப்பட்ட நீண்ட காலத்திற்குப் பிறகும், பிரச்சினை தீர்க்கப்பட்ட பின்னரும் நடைபெறுகிறது என்பதை உங்களில் சிலருக்குத் தெரியும். மேலும், இது முழு செயல்முறையையும் எடுத்தாலும், பயனரின் ஒரு பகுதி இன்னும் தொடர்புடைய புதுப்பிப்பைச் செய்ய வேண்டும்.
சிக்கல் தீர்க்கும் நிலையை மதிப்பாய்வு செய்யலாம் முக்கிய லினக்ஸ் விநியோகங்களின் அறிக்கைகளுக்குள்.
இதை உள்ளே காணலாம் இந்த பக்கங்கள்: டெபியன், உபுண்டு, RHEL, ஃபெடோரா, SUSE, OpenWRT, ஆர்க், நெட்.பி.எஸ்.டி.
RHEL, OpenWRT மற்றும் SUSE இல், pppd தொகுப்பு "ஸ்டாக் ஸ்மாஷிங் பாதுகாப்பு" ("-fstack-protectctorC gcc இல்), இது பூட்டு செயல்பாட்டைக் கட்டுப்படுத்துகிறது.
விநியோகங்களுக்கு கூடுதலாக, சில சிஸ்கோ (கால்மேனேஜர்), டிபி-லிங்க் மற்றும் சினாலஜி தயாரிப்புகளிலும் (டிஸ்க்ஸ்டேஷன் மேலாளர், விஷுவல்ஸ்டேஷன் விஎஸ் 960 எச்.டி மற்றும் ரூட்டர் மேனேஜர்) பிபிடி அல்லது எல்விஐபி குறியீட்டைப் பயன்படுத்தி பாதிப்பு உறுதிப்படுத்தப்பட்டுள்ளது.
இது போன்ற இணைப்பு ஏற்கனவே கிடைக்கிறது பெரும்பாலான லினக்ஸ் விநியோகங்களின் களஞ்சியங்களுக்குள் மற்றும் சிலர் ஏற்கனவே தொகுப்பு புதுப்பிப்பை வழங்குவதன் மூலம் அதை செயல்படுத்தியுள்ளனர்.
நீங்கள் அதைப் பற்றி மேலும் தெரிந்து கொள்ள விரும்பினால் கண்டுபிடிக்கப்பட்ட தவறு பற்றி, நீங்கள் விவரங்களையும் கூடுதல் தகவல்களையும் சரிபார்க்கலாம் பின்வரும் இணைப்பில்.