NAS மற்றும் பல்வேறு விநியோகங்களில் பயன்படுத்தப்படும் Netatalk இல் ஆறு பாதிப்புகள் கண்டறியப்பட்டன

பாதிப்பு

சுரண்டப்பட்டால், இந்த குறைபாடுகள் தாக்குபவர்கள் முக்கியமான தகவல்களுக்கு அங்கீகரிக்கப்படாத அணுகலைப் பெற அனுமதிக்கலாம் அல்லது பொதுவாக சிக்கல்களை ஏற்படுத்தும்

என்று செய்தி வெளியானது Netatalk சர்வரில் ஆறு ஏட்ஸ் பாதிப்புகள் கண்டறியப்பட்டது, AppleTalk மற்றும் Apple Filing Protocol (AFP) நெட்வொர்க் புரோட்டோகால்களை செயல்படுத்தும் சேவையகம்.

கண்டறியப்பட்ட பாதிப்புகள் தொலைவிலிருந்து பயன்படுத்திக் கொள்ளலாம் அதாவது, அவர்கள் தாக்குபவர்கள் சிறப்பாக வடிவமைக்கப்பட்ட தொகுப்புகளை அனுப்புவதன் மூலம் தனது குறியீட்டை ரூட்டாக செயல்படுத்துவதை ஒழுங்கமைக்க அனுமதிக்கிறார்கள்.

இந்த தோல்விகளின் முக்கியத்துவம் உண்மையில் காரணமாகும் பல உற்பத்தியாளர்கள் சேமிப்பக சாதனங்கள் (NAS) Netatalk ஐப் பயன்படுத்துகிறது ஆப்பிள் கணினிகளில் இருந்து கோப்புகளைப் பகிர மற்றும் அச்சுப்பொறிகளை அணுக.

அது தவிர Netatalk OpenWRT உட்பட பல விநியோகங்களுடன் தொகுக்கப்பட்டுள்ளது, அதே போல் Debian, Ubuntu, SUSE, Fedora மற்றும் FreeBSD (இருப்பினும் இது முன்னிருப்பாகப் பயன்படுத்தப்படவில்லை).

அடையாளம் காணப்பட்ட சிக்கல்கள் குறித்து, பின்வருபவை குறிப்பிடப்பட்டுள்ளன:

  • CVE-2022-0194: நிலையான இடையகத்திற்கு நகலெடுக்கும் முன் வெளிப்புறத் தரவின் அளவு ad_addcomment() இல் சரியாகச் சரிபார்க்கப்படவில்லை. அங்கீகாரம் இல்லாமல் ரிமோட் அட்டாக்கரை உங்கள் குறியீட்டை ரூட்டாக இயக்க இந்த பாதிப்பு அனுமதிக்கிறது.
  • CVE-2022-23121: AppleDouble உள்ளீடுகளை பாகுபடுத்தும் போது ஏற்படும் parse_entries() செயல்பாட்டில் பிழைகளை தவறாக கையாளுதல். அங்கீகாரம் இல்லாமல் ரிமோட் அட்டாக்கரை உங்கள் குறியீட்டை ரூட்டாக இயக்க இந்த பாதிப்பு அனுமதிக்கிறது.
  • CVE-2022-23122: setfilparams() செயல்பாடு வெளிப்புறத் தரவை ஒரு நிலையான இடையகத்திற்கு நகலெடுக்கும் முன் அதன் அளவைச் சரியாகச் சரிபார்க்காது. அங்கீகாரம் இல்லாமல் ரிமோட் அட்டாக்கரை உங்கள் குறியீட்டை ரூட்டாக இயக்க இந்த பாதிப்பு அனுமதிக்கிறது.
  • CVE-2022-23124: get_finderinfo() முறையில் சரியான உள்ளீடு சரிபார்ப்பு இல்லை, இது ஒதுக்கப்பட்ட இடையகத்திற்கு வெளியே ஒரு பகுதியைப் படிக்கும். இந்த பாதிப்பு அங்கீகாரம் இல்லாமல் ரிமோட் அட்டாக்கரை செயல்முறை நினைவகத்தில் இருந்து தகவல்களை கசிய அனுமதிக்கிறது. பிற பாதிப்புகளுடன் இணைந்து, குறியீட்டை ரூட்டாக இயக்கவும் பிழை பயன்படுத்தப்படலாம்.
  • சி.வி.இ -2022-23125: நிலையான இடையகத்திற்கு தரவை நகலெடுக்கும் முன் copyapplfile() இல் len உறுப்பைப் பாகுபடுத்தும் போது அளவு சரிபார்ப்பு இல்லை. அங்கீகாரம் இல்லாமல் ரிமோட் அட்டாக்கரை உங்கள் குறியீட்டை ரூட்டாக இயக்க இந்த பாதிப்பு அனுமதிக்கிறது.
  • CVE-2022-23123: getdirparams() முறையில் உள்வரும் தரவின் சரிபார்ப்பு இல்லை, இதன் விளைவாக ஒதுக்கப்பட்ட இடையகத்திற்கு வெளியே ஒரு பகுதியைப் படிக்கும். இந்த பாதிப்பு அங்கீகாரம் இல்லாமல் ரிமோட் அட்டாக்கரை செயல்முறை நினைவகத்தில் இருந்து தகவல்களை கசிய அனுமதிக்கிறது.

கண்டறியப்பட்ட பாதிப்புகள் குறித்து, இவற்றைக் குறிப்பிடுவது முக்கியம் அவை ஏற்கனவே Netatalk பதிப்பு 3.1.13 இல் சரி செய்யப்பட்டுள்ளன, OpenWrt இல் இது 22.03 கிளையிலிருந்து அகற்றப்பட்டது மற்றும் வெஸ்டர்ன் டிஜிட்டல் சாதனங்களில் பயன்படுத்தப்படும் NAS இல், WD firmware இலிருந்து Netatalk ஐ அகற்றுவதன் மூலம் சிக்கல் தீர்க்கப்பட்டது.

இறுதியாக, அதையும் குறிப்பிட வேண்டும் சம்பா தொகுப்பு திருத்தங்கள் 4.17.3, 4.16.7 மற்றும் 4.15.12 அகற்றப்பட்டு வெளியிடப்பட்டது ஒரு பாதிப்பு (சி.வி.இ -2022-42898) கெர்பரோஸ் நூலகங்களில், அங்கீகரிக்கப்பட்ட பயனரால் அனுப்பப்பட்ட பிஏசி (பிரிவிலேஜ்ட் அட்ரிபியூட் சான்றிதழ்) அளவுருக்களை செயலாக்கும் போது, ​​ஒதுக்கப்பட்ட இடையகத்திலிருந்து முழு எண் நிரம்பி வழிகிறது மற்றும் தரவை எழுதுகிறது.

சம்பாவைத் தவிர, MIT Kerberos மற்றும் Heimdal Kerberos தொகுப்புகளிலும் இந்தச் சிக்கல் தோன்றுகிறது. சம்பா திட்ட பாதிப்பு அறிக்கை அச்சுறுத்தலை விவரிக்கவில்லை, ஆனால் எம்ஐடியின் கெர்பரோஸ் அறிக்கை, பாதிப்பு தொலைநிலை குறியீடு செயல்படுத்தலுக்கு வழிவகுக்கும் என்று சுட்டிக்காட்டியது. பாதிப்பை சுரண்டுவது 32-பிட் கணினிகளில் மட்டுமே சாத்தியமாகும்.

சிக்கல் KDC (முக்கிய விநியோக மையம்) அல்லது kadmind உடன் உள்ளமைவுகளைப் பாதிக்கிறது. ஆக்டிவ் டைரக்டரி இல்லாத உள்ளமைவுகளில், கெர்பரோஸைப் பயன்படுத்தும் சாம்பா கோப்பு சேவையகங்களிலும் பாதிப்பு வெளிப்படுகிறது.

krb5_parse_pac() செயல்பாட்டில் உள்ள பிழையால் சிக்கல் ஏற்பட்டது, ஏனெனில் PAC புலங்களை பாகுபடுத்தும் போது பயன்படுத்தப்படும் இடையக அளவு தவறாக கணக்கிடப்பட்டது. 32-பிட் கணினிகளில், பிரத்யேகமாக வடிவமைக்கப்பட்ட பிஏசிகளை செயலாக்கும் போது, ​​ஒரு பிழையானது தாக்குபவர் அனுப்பிய 16-பைட் தொகுதியை ஒதுக்கப்பட்ட இடையகத்திற்கு வெளியே வைக்கலாம்.

விநியோகங்களில் தொகுப்பு புதுப்பிப்புகளின் வெளியீட்டை பக்கங்களில் காணலாம்: டெபியன்உபுண்டுஜென்டூRHELSUSEஆர்க் ஃப்ரீ.

இறுதியாக என்றால் இஅதைப் பற்றி மேலும் அறிய ஆர்வமாக உள்ளீர்களா? கண்டறியப்பட்ட தோல்விகளைப் பற்றி, பின்வரும் இணைப்புகளில் விவரங்களைப் பார்க்கலாம்.

Netatalk இல் உள்ள பாதிப்புகள்

சம்பா சரிசெய்கிறது


உங்கள் கருத்தை தெரிவிக்கவும்

உங்கள் மின்னஞ்சல் முகவரி வெளியிடப்பட்ட முடியாது. தேவையான புலங்கள் குறிக்கப்பட்டிருக்கும் *

*

*

  1. தரவுக்கு பொறுப்பு: மிகுவல் ஏஞ்சல் கேடன்
  2. தரவின் நோக்கம்: கட்டுப்பாட்டு ஸ்பேம், கருத்து மேலாண்மை.
  3. சட்டபூர்வமாக்கல்: உங்கள் ஒப்புதல்
  4. தரவின் தொடர்பு: சட்டபூர்வமான கடமையால் தவிர மூன்றாம் தரப்பினருக்கு தரவு தெரிவிக்கப்படாது.
  5. தரவு சேமிப்பு: ஆக்சென்டஸ் நெட்வொர்க்குகள் (EU) வழங்கிய தரவுத்தளம்
  6. உரிமைகள்: எந்த நேரத்திலும் உங்கள் தகவல்களை நீங்கள் கட்டுப்படுத்தலாம், மீட்டெடுக்கலாம் மற்றும் நீக்கலாம்.