Mae gwendid (CVE-2025-29906) wedi'i ddarganfod yn y system ymgychwyn finit, sy'n caniatΓ‘u mewngofnodi fel unrhyw ddefnyddiwr heb ddilysu cyfrinair. Cyflawnir camfanteisio ar y bregusrwydd trwy drin yr anogwr mewngofnodi ac mae angen mynediad i'r consol. Mae'r gwendid yn ymddangos o fersiwn 3.0 ymlaen (Hydref 2017) ac fe'i trwsiwyd yn rhyddhad finit 4.11. Yn dilyn hyn, crΓ«wyd rhyddhad 4.12, a oedd yn dileu gorlif byffer yn yr ategyn urandom, nad oedd wedi'i nodi fel bregusrwydd.
Mae'r bregusrwydd yn effeithio ar weithrediad y rhaglen getty, sy'n arddangos anogwr mewngofnodi yn y derfynell ac yn cychwyn y broses /bin/login i ddilysu'r defnyddiwr. Mae'r bregusrwydd yn cael ei achosi gan ddiffyg gwahanu dadleuon llinell orchymyn wrth redeg /bin/login, sy'n caniatΓ‘u i'r opsiwn "-f" gael ei nodi yn yr enw defnyddiwr, sy'n analluogi gwirio cyfrinair (er enghraifft, gallwch chi nodi "-f root" yn lle "root"). Mae'r broblem yn cael ei datrys drwy ychwanegu'r ddadl "--" cyn y maes enw defnyddiwr: - execl(_PATH_LOGIN, _PATH_LOGIN, "-p", name, NULL); + execl(_PATH_LOGIN, _PATH_LOGIN, β-pβ, βββ, enw, NULL);
Fel ateb dros dro i rwystro'r bregusrwydd, argymhellir defnyddio gweithrediad allanol o'r broses getty, fel agetty, yn finit. Mewn dosraniadau Debian 12, UbuntuMae pecynnau Parrot, Raspbian a Trisquel gyda finit yn dal heb atgyweiriad i'r bregusrwydd.
Mae system gychwyn Finit (Fast init) yn cael ei datblygu fel dewis arall syml i SysV init a systemd, ac mae wedi dod yn gyffredin mewn systemau mewnosodedig. Mae'r prosiect yn seiliedig ar dechnolegau'r system gychwyn fastinit a ddefnyddir yn Linux- cadarnwedd ar gyfer gliniaduron net EeePC ac mae'n nodedig am ei broses gychwyn hynod gyflym. Mae Finit yn cefnogi lefelau rhedeg arddull init SysV, ailgychwyn gwasanaeth awtomatig rhag ofn methiant, gweithredu trinwyr un-tro, cychwyn gwasanaeth yn seiliedig ar ddibyniaethau ac amodau mympwyol, atodi trinwyr ychwanegol i redeg cyn neu ar Γ΄l gweithredu gwasanaeth, ehangu ymarferoldeb trwy ategion, a ffurfweddu cyfyngiadau trwy Cgroups v2.
Ffynhonnell: opennet.ru
