Utiliidis systemd-tmpfiles on tuvastatud haavatavus (CVE-2021-3997), mis võimaldab kontrollimatut rekursiooni. Probleemi saab kasutada teenuse keelamiseks süsteemi alglaadimise ajal, luues kataloogis /tmp suure hulga alamkatalooge. Parandus on praegu saadaval plaastri kujul. Probleemi lahendamiseks mõeldud paketivärskendusi pakutakse Ubuntus ja SUSE-s, kuid need pole veel saadaval Debianis, RHELis ja Fedoras (parandused on testimisel).
Tuhandete alamkataloogide loomisel jookseb toimingu "systemd-tmpfiles --remove" sooritamine kokku virna ammendumise tõttu. Tavaliselt teostab utiliit systemd-tmpfiles kataloogide kustutamise ja loomise toimingud ühe kõnega (“systemd-tmpfiles —create —remove —boot —exclude-prefix=/dev”), kusjuures esmalt tehakse kustutamine ja seejärel loomine, s.t. Kustutamisetapi tõrge põhjustab failis /usr/lib/tmpfiles.d/*.conf määratud kriitiliste failide loomise.
Mainitakse ka ohtlikumat ründe stsenaariumi Ubuntu 21.04 puhul: kuna systemd-tmpfiles krahh ei loo faili /run/lock/subsys ja /run/lock kataloogi saavad kirjutada kõik kasutajad, võib ründaja luua / run/lock/ kataloogi alamsüsteem oma identifikaatori all ja süsteemiprotsesside lukustusfailidega lõikuvate sümboolsete linkide loomise kaudu korraldada süsteemifailide ülekirjutamine.
Lisaks võime märkida projektide Flatpaki, Samba, FreeRDP, Clamavi ja Node.js uute väljaannete avaldamist, mille haavatavused on parandatud:
- Iseseisvate Flatpaki pakettide 1.10.6 ja 1.12.3 koostamise tööriistakomplekti parandusväljaannetes on parandatud kaks turvaauku: Esimene haavatavus (CVE-2021-43860) võimaldab paketi allalaadimisel ebausaldusväärsest hoidlast läbi metaandmetega manipuleerimine, et peita installiprotsessi ajal teatud täpsemate lubade kuvamine. Teine haavatavus (ilma CVE-ta) võimaldab käsuga “flatpak-builder —mirror-screenshots-url” luua paketi kokkupanemise ajal katalooge failisüsteemi piirkonnas väljaspool ehituskataloogi.
- Samba 4.13.16 värskendus kõrvaldab haavatavuse (CVE-2021-43566), mis võimaldab kliendil manipuleerida SMB1 või NFS-i partitsioonide sümboolsete linkidega, et luua serverisse kataloog väljaspool eksporditud FS-i piirkonda (probleemi põhjustab võistlusseisund ja seda on praktikas raske kasutada, kuid teoreetiliselt võimalik). Probleem mõjutab versioone, mis on vanemad kui 4.13.16.
Samuti on avaldatud aruanne teise sarnase haavatavuse kohta (CVE-2021-20316), mis võimaldab autentitud kliendil sümboolsete linkide manipuleerimise kaudu lugeda või muuta FS-serveri alal asuva faili või kataloogi metaandmete sisu väljaspool eksporditud jaotist. Probleem on parandatud versioonis 4.15.0, kuid see mõjutab ka varasemaid harusid. Vanade harude parandusi aga ei avaldata, kuna vana Samba VFS-i arhitektuur ei võimalda probleemi lahendada metaandmete toimingute sidumise tõttu failiteedega (Samba 4.15-s kujundati VFS-kiht täielikult ümber). Probleemi teeb vähem ohtlikuks see, et selle kasutamine on üsna keeruline ja kasutaja juurdepääsuõigused peavad võimaldama sihtfaili või -kataloogi lugemist või sinna kirjutamist.
- FreeRDP 2.5 projekti väljalase, mis pakub Remote Desktop Protocol (RDP) tasuta juurutamist, parandab kolm turvaprobleemi (CVE identifikaatorid ei ole määratud), mis võivad vale lokaadi kasutamisel põhjustada puhvri ületäitumist, töödeldes spetsiaalselt loodud registrit seaded ja näitab valesti vormindatud lisandmooduli nime. Uue versiooni muudatused hõlmavad OpenSSL 3.0 teegi tuge, sätte TcpConnectTimeout juurutamist, täiustatud ühilduvust LibreSSL-iga ja lahendust lõikepuhvri probleemidele Waylandi-põhistes keskkondades.
- Tasuta viirusetõrjepaketi ClamAV 0.103.5 ja 0.104.2 uued versioonid kõrvaldavad haavatavuse CVE-2022-20698, mis on seotud osuti vale lugemisega ja võimaldab kaugjuhtimisega põhjustada protsessi krahhi, kui pakett on kompileeritud libjson- c teek ja suvand CL_SCAN_GENERAL_COLLECT_METADATA on seadetes lubatud (clamscan --gen-json).
- Node.js platvormi värskendused 16.13.2, 14.18.3, 17.3.1 ja 12.22.9 parandavad neli haavatavust: võrguühenduse kontrollimisel sertifikaadi kontrollimisest möödahiilimine SAN-i (subject Alternative Names) stringivormingusse (CVE-) vale teisendamise tõttu. 2021 -44532); mitme väärtuse loendamise vale käsitlemine teema ja väljaandja väljadel, mida saab kasutada mainitud väljade kontrollimisest sertifikaatides (CVE-2021-44533) mööda hiilimiseks; SAN URI tüübiga seotud piirangutest möödaminek sertifikaatides (CVE-2021-44531); Ebapiisav sisendi valideerimine funktsioonis console.table(), mida saab kasutada tühjade stringide määramiseks digitaalvõtmetele (CVE-2022-21824).
Allikas: opennet.ru