በቅርብ ጊዜ የተገኙ አንዳንድ ድክመቶች፡-
- ፐርል 5.38.1 በ"utf8::perl" የሚጀምር ስም ያለው በተሳሳተ መልኩ እንደገና የተገለጸ ውስጣዊ የዩኒኮድ ባህሪ ያላቸው የተዋሃዱ መደበኛ አገላለጾችን ሲያስኬድ አንድ ባይት ከወሰን ውጭ እንዲጻፍ ሊያደርግ የሚችል ተጋላጭነትን (CVE-2023-47038) ያስተካክላል። ችግሩ በፐርል 5.30 ይጀምራል።
ፐርል 5.38.1 እንዲሁም የዊንዶውስ-ተኮር ተጋላጭነትን (CVE-2023-47039) ያስተካክላል፣ ይህም የcmd.exe ፋይል በአሁኑ ማውጫ ውስጥ ሊቀመጥ የሚችል ከሆነ ስክሪፕቶችን ሲያሄዱ ብጁ የኮድ አፈፃፀም እንዲኖር ያስችላል። (ሊተገበሩ የሚችሉ ፋይሎችን ሲፈልጉ የመንገድ ጽዳት ባለመኖሩ፣ ፐርል መጀመሪያ በአሁኑ ማውጫ ውስጥ cmd.exeን ለማስኬድ ይሞክራል።) ለምሳሌ፣ አንድ አጥቂ ብጁ cmd.exe በC:\ProgramData ማውጫ ውስጥ ማስቀመጥ እና አስተዳዳሪ ከዚያ ማውጫ የፐርል ስክሪፕት ቢያሄድ መብቶቹን ሊያሳድግ ይችላል።
- በ2016 የNextcloud ፕሮጀክት በተፈጠረበት የኦውንክላውድ ደመና መድረክ ላይ ተጋላጭነት (CVE-2023-49103) ተገኝቷል፣ ይህም የgraphapi መተግበሪያን የሚነካ እና የአካባቢ ተለዋዋጮች ይዘቶች እንዲወሰኑ የሚያስችል ሲሆን ይህም የአስተዳዳሪ የይለፍ ቃል፣ የፈቃድ ቁልፍ እና ከደብዳቤው ጋር ለመገናኘት የሚያስፈልጉትን ማረጋገጫዎች ሊይዝ ይችላል። አገልጋይችግሩ የተፈጠረው በgraphapi ውስጥ የሶስተኛ ወገን ቤተ-መጽሐፍትን በመጠቀም ሲሆን፣ ከሌሎች ነገሮች በተጨማሪ የ phpinfo() ተግባርን የሚጠራውን የ GetPhpInfo.php ተቆጣጣሪ ያቀርባል፣ ይህም ውጤቱ የአካባቢ ተለዋዋጮችን ያካትታል።
- በGStreamer መልቲሚዲያ ማዕቀፍ ውስጥ ሁለት ተጋላጭነቶች ተለይተዋል፡ CVE-2023-44446፣ በMXF ፋይል ትንተና ኮድ ውስጥ ከአጠቃቀም በኋላ ነፃ ተጋላጭነት፤ እና CVE-2023-44429፣ በAV1 ቅርጸት ትንተና ኮድ ውስጥ የቋት ፍሰት። የመጀመሪያው ችግር የሚከሰተው አንድ ነገር በእሱ ላይ ስራዎችን ከማከናወኑ በፊት የማረጋገጫ እጥረት ሲሆን ሁለተኛው ደግሞ ወደ ቋሚ ቋት ከመቅዳትዎ በፊት የውሂብ መጠኑን ማረጋገጥ ባለመቻሉ ነው። እነዚህ ተጋላጭነቶች በልዩ ሁኔታ የተሰሩ የMXF ፋይሎችን እና የAV1 መልቲሚዲያ ውሂብን ለማስኬድ ሲሞክሩ ወደ ተንኮል አዘል የኮድ አፈፃፀም ሊያመሩ ይችላሉ። የጥቃት ቬክተሮች በተጠቃው መተግበሪያ ትግበራ ላይ የተመሰረቱ እንደሆኑ ተገልጸዋል። እነዚህ ችግሮች ከ10 ውስጥ 8.8 የሆነ የክብደት ደረጃ ተመድበዋል። ተጋላጭነቶቹ በGStreamer 1.22.7 ውስጥ ተስተካክለዋል።
- በዜፊር RTOS ቅጽበታዊ ኦፕሬቲንግ ሲስተም ውስጥ ሃያ አምስት ተጋላጭነቶች ተለይተዋል፣ አብዛኛዎቹም ወደ አጥቂ ኮድ አፈፃፀም ሊያመሩ ይችላሉ። ተጋላጭነቶቹ የሚከሰቱት በዋይፋይ ሼል፣ በብሉቱዝ ቁልል፣ በአይፒኤም ነጂ፣ በዩኤስቢ ቁልል፣ በIEEE 802.15.4 ነጂ፣ በMgmt ንዑስ ስርዓት፣ በፋይል ሲስተም፣ በeS-WiFi ነጂ እና በCANbus ንዑስ ስርዓት ውስጥ ባሉ የቋት ፍሰቶች ነው። አብዛኛዎቹ ተጋላጭነቶች በዜፊር 3.5.0 ውስጥ ተስተካክለዋል፣ ነገር ግን አንድ ችግር (CVE-2023-4261) አሁንም አልተስተካከለም (የዚህ ተጋላጭነት ዝርዝሮች አንድ ፓች እስኪገኝ ድረስ አይታተሙም)።
ምንጭ: opennet.ru
