ኤግዚም 4.92.3 በዓመት ውስጥ አራተኛውን ወሳኝ ተጋላጭነት በማስወገድ ታትሟል

የታተመ የመልእክት አገልጋይ ልዩ ልቀት ኤግዚም 4.92.3 ከሌላው መወገድ ጋር ወሳኝ ተጋላጭነት (CVE-2019-16928በ EHLO ትዕዛዝ ውስጥ ልዩ ቅርጸት ያለው ሕብረቁምፊ በማለፍ ኮድዎን በርቀት በአገልጋዩ ላይ እንዲፈጽሙ ያስችልዎታል። ተጋላጭነቱ ልዩ መብቶች እንደገና ከተዘጋጁ በኋላ በደረጃው ላይ ይታያል እና የገቢ መልእክት ተቆጣጣሪው የሚፈፀምበት መብት ከሌለው ተጠቃሚ መብቶች ጋር ኮድ አፈፃፀም ላይ ብቻ የተገደበ ነው።

ችግሩ የሚገኘው በኤግዚም 4.92 ቅርንጫፍ (4.92.0፣ 4.92.1 እና 4.92.2) ላይ ብቻ ነው እና በወሩ መጀመሪያ ላይ ከተስተካከለው ተጋላጭነት ጋር አይጣመርም። CVE-2019-15846. ተጋላጭነቱ የሚከሰተው በአንድ ተግባር ውስጥ ባለው ቋት በመፍሰሱ ነው። string_vformat(), በፋይል string.c ውስጥ ይገለጻል. ታይቷል። መበዝበዝ በEHLO ትእዛዝ ውስጥ ረጅም ሕብረቁምፊ (በርካታ ኪሎባይት) በማለፍ ብልሽት እንዲፈጥሩ ይፈቅድልዎታል፣ ነገር ግን ተጋላጭነቱ በሌሎች ትዕዛዞች ሊበዘበዝ ይችላል፣ እና የኮድ አፈጻጸምን ለማደራጀት ሊያገለግል ይችላል።

ተጋላጭነቱን ለመግታት ምንም መፍትሔዎች የሉም ፣ ስለሆነም ሁሉም ተጠቃሚዎች ዝመናውን በአስቸኳይ እንዲጭኑ ፣ እንዲያመለክቱ ይመከራሉ ልጣፍ ወይም በስርጭቶች የቀረቡ ፓኬጆችን መጠቀሙን ያረጋግጡ ለአሁኑ ተጋላጭነቶች ጥገናዎችን ያካተቱ። hotfix ተለቋል ለ ኡቡንቱ (ቅርንጫፍ 19.04 ብቻ ነው የሚነካው) አርክ ሊንክ, FreeBSD, ደቢያን (Debian 10 Buster ላይ ብቻ ነው የሚነካው) እና Fedora. RHEL እና CentOS በችግሩ አይነኩም፣ ምክንያቱም ኤግዚም በመደበኛ የጥቅል ማከማቻቸው ውስጥ አልተካተተም (በ EPEL7 ለአሁኑ አዘምን የለም). በSUSE/openSUSE ውስጥ ተጋላጭነቱ በኤግዚም 4.88 ቅርንጫፍ አጠቃቀም ምክንያት አይታይም።

ምንጭ: opennet.ru