Wọn ṣe awari ailagbara kan ninu awọn ile-ikawe uClibc ati uClibc-ng ti o kan famuwia Linux 

Awọn ọjọ diẹ sẹhin awọn iroyin ti tu silẹ pe ninu awọn ile-ikawe boṣewa C uClibc ati uClibc-ng, ti a lo ninu ọpọlọpọ awọn ohun elo ti a fi sii ati gbigbe, a ti mọ ailagbara (pẹlu CVE ti a ko ti yan tẹlẹ), eyiti o fun laaye iyipada ti data idinwon ninu kaṣe DNS, eyiti o le ṣee lo lati sọ adiresi IP adiresi ti agbegbe lainidii kan ninu kaṣe ati ṣe atunṣe awọn ibeere si aaye si olupin ikọlu naa.

Nipa iṣoro naa o ti mẹnuba pe eyi ni ipa lori ọpọlọpọ famuwia Linux fun awọn olulana, awọn aaye iwọle ati awọn ẹrọ IoT, bakanna bi awọn pinpin Linux ti a fi sii bi OpenWRT ati Gentoo ti a fi sii.

Nipa ipalara

Ipalara jẹ nitori lilo awọn idamọ idunadura asọtẹlẹ ni koodu lati firanṣẹ awọn ibeere ti DNS. ID ibeere DNS ni a yan nipasẹ jijẹ counter ni irọrun laisi aileto siwaju ti awọn nọmba ibudo, eyiti jẹ ki o ṣee ṣe lati majele kaṣe DNS nipa fifiranṣẹ awọn apo-iwe UDP ni iṣaaju pẹlu awọn idahun iro (idahun naa yoo gba ti o ba de ṣaaju idahun lati ọdọ olupin gidi ati pẹlu idanimọ to pe).

Ko dabi Kaminsky ọna ti a dabaa ni 2008, o jẹ ko paapaa pataki lati gboju le won awọn idunadura ID, niwon o jẹ lakoko asọtẹlẹ (ni ibẹrẹ, o ti ṣeto si 1, eyi ti o mu pẹlu kọọkan ìbéèrè, ati ki o ti wa ni ko laileto ti a ti yan).

Lati dabobo ara re lodi si ID lafaimo, awọn sipesifikesonu siwaju sope awọn lilo ti a ID pinpin ti awọn nọmba ibudo nẹtiwọki ti ipilẹṣẹ lati eyiti a ti firanṣẹ awọn ibeere DNS, eyiti o sanpada fun iwọn ti ko to ti ID naa.

Nigba ti ibudo randomization wa ni sise, lati fẹlẹfẹlẹ kan ti idinwon esi, ni afikun si yiyan a 16-bit idamo, o jẹ tun pataki lati yan awọn nẹtiwọki ibudo nọmba. Ni uClibc ati uClibc-ng, iru ID yii ko ṣiṣẹ ni gbangba (nigbati a ba pe dè, a ko ṣe pato ibudo orisun UDP) ati imuse rẹ da lori iṣeto ẹrọ ṣiṣe.

Nigbati aileto ibudo jẹ alaabo, ti npinnu iru id ibeere wo ni a samisi bi iṣẹ-ṣiṣe ti o kere. Ṣugbọn paapaa ninu ọran ti aileto, ikọlu nikan nilo lati gboju ibudo nẹtiwọọki lati iwọn 32768-60999, fun eyiti o le lo fifiranṣẹ lọpọlọpọ nigbakanna ti awọn idahun idii lori awọn ebute oko oju omi nẹtiwọọki oriṣiriṣi.

Iṣoro naa ti jẹrisi ni gbogbo awọn ẹya lọwọlọwọ ti uClibc ati uClibc-ng, pẹlu awọn titun awọn ẹya ti uClibc 0.9.33.2 ati uClibc-ng 1.0.40.

“O ṣe pataki lati ṣe akiyesi pe ailagbara kan ti o kan ile-ikawe C boṣewa le jẹ eka pupọ,” ẹgbẹ naa kowe ninu ifiweranṣẹ bulọọgi ni ọsẹ yii.

"Kii ṣe pe awọn ọgọọgọrun tabi ẹgbẹẹgbẹrun awọn ipe yoo wa si iṣẹ alailagbara ni awọn aaye pupọ ninu eto kan, ṣugbọn ailagbara yoo ni ipa lori nọmba ailopin ti awọn eto olutaja pupọ miiran ti tunto lati lo ile-ikawe yẹn.”

Ni Oṣu Kẹsan 2021, alaye nipa ailagbara naa ti firanṣẹ si CERT/CC fun igbaradi akojọpọ. Ni Oṣu Kini ọdun 2022, iṣoro naa ti pin pẹlu diẹ sii ju awọn aṣelọpọ 200 ni nkan ṣe pẹlu CERT/CC.

Ni Oṣu Kẹta, igbiyanju kan wa lọtọ lati kan si olutọju ti iṣẹ-ṣiṣe uClibc-ng, ṣugbọn o dahun pe oun ko le ṣatunṣe ailagbara naa funrararẹ ati ṣeduro ifitonileti gbangba ti alaye nipa iṣoro naa, nireti lati gba iranlọwọ lati dagbasoke atunṣe kan. awujo. Lati ọdọ awọn aṣelọpọ, NETGEAR kede itusilẹ ti imudojuiwọn pẹlu yiyọkuro ailagbara naa.

O ṣe pataki lati ṣe akiyesi pe ailagbara kan ti o kan ile-ikawe C boṣewa le jẹ eka pupọ. Kii ṣe pe awọn ọgọọgọrun tabi ẹgbẹẹgbẹrun awọn ipe yoo wa si iṣẹ alailagbara ni awọn aaye pupọ ninu eto ẹyọkan, ṣugbọn ailagbara yoo ni ipa lori nọmba ailopin ti awọn eto miiran lati ọdọ awọn olutaja pupọ ti tunto lati lo ile-ikawe yẹn.

O ṣe akiyesi pe ailagbara naa ṣafihan ararẹ ni awọn ẹrọ lati ọdọ ọpọlọpọ awọn aṣelọpọ (fun apẹẹrẹ, a lo uClibc ni famuwia lati Linksys, Netgear, ati Axis), ṣugbọn niwọn igba ti ailagbara naa wa ni ṣiṣi silẹ ni uClibc ati uClibc-ng, alaye alaye nipa awọn ẹrọ ati pato awọn aṣelọpọ ninu awọn ọja ti iṣoro kan wa, titi ti wọn yoo fi han.

Níkẹyìn ti o ba nifẹ lati mọ diẹ sii nipa rẹ, o le ṣayẹwo awọn alaye naa Ni ọna asopọ atẹle.


Awọn akoonu ti nkan naa faramọ awọn ilana wa ti awọn ilana olootu. Lati jabo aṣiṣe kan tẹ nibi.

Jẹ akọkọ lati sọ ọrọ

Fi ọrọ rẹ silẹ

Adirẹsi imeeli rẹ yoo ko le ṣe atejade.

*

*

  1. Lodidi fun data naa: Miguel Ángel Gatón
  2. Idi ti data naa: SPAM Iṣakoso, iṣakoso ọrọ asọye.
  3. Ofin: Iyọọda rẹ
  4. Ibaraẹnisọrọ data: Awọn data kii yoo ni ifọrọhan si awọn ẹgbẹ kẹta ayafi nipasẹ ọranyan ofin.
  5. Ibi ipamọ data: Alaye data ti o gbalejo nipasẹ Awọn nẹtiwọọki Occentus (EU)
  6. Awọn ẹtọ: Ni eyikeyi akoko o le ni opin, gba pada ki o paarẹ alaye rẹ.