Leochaileachtaí i Perl, ownCloud, GStreamer agus Zephyr RTOS

Roinnt leochaileachtaí a aimsíodh le déanaí:

  • Tugann eisiúint cothabhála Perl 5.38.1 aghaidh ar leochaileacht (CVE-2023-47038) a d'fhéadfadh a bheith ina chúis le beart amháin a scríobh as teorainneacha sa mhaolán leithdháilte agus sloinn rialta tiomsaithe á bpróiseáil ag a bhfuil airí inmheánach Unicode athshainithe go mícheart le hainm ag tosú le "utf8::" perl". Is cosúil an fhadhb ó bhrainse Perl 5.30.

    Ina theannta sin, chuir Perl 5.38.1 deireadh le haon ardán-shonrach Windows Ligeann leochaileacht (CVE-2023-47039) forghníomhú cód treallach agus scripteanna á rith má bhíonn comhad cmd.exe in ann a bheith san eolaire reatha (de bharr easpa glantacháin cosáin agus comhaid inrite á gcuardach, déanann Perl iarracht cmd.exe a rith san eolaire reatha ar dtús). Mar shampla, d'fhéadfadh ionsaitheoir cmd.exe saincheaptha a chur san eolaire C:\ProgramData agus a gcuid pribhléidí a ardú má ritheann riarthóir script Perl ón eolaire sin.

  • Aimsíodh leochaileacht (CVE-2023-49103) san ardán scamall ownCloud, as ar forcaíodh tionscadal Nextcloud in 2016. Bíonn tionchar aici ar an bhfeidhmchlár graphapi agus tugann sí deis duit ábhar athróg timpeallachta a chinneadh a bhféadfadh pasfhocal an riarthóra, eochair cheadúnais, agus dintiúir chun ceangal leis an bhfreastalaí ríomhphoist a bheith iontu. freastalaíIs é is cúis leis an gceist ná úsáid leabharlann tríú páirtí i graphapi, a sholáthraíonn, i measc rudaí eile, an láimhseálaí GetPhpInfo.php, a ghlaonn ar an bhfeidhm phpinfo(), a bhfuil athróga comhshaoil ​​​​ina haschur.
  • Aithníodh dhá leochaileacht i gcreat ilmheán GStreamer: CVE-2023-44446 - rochtain chuimhne tar éis é a shaoradh (Úsáid Tar éis Saor in Aisce) sa chód parsála comhaid MXF; CVE-2023-44429 - Maolán thar maoil sa chód parsála formáid AV1. Is é an chéad fhadhb is cúis le gan an réad a sheiceáil sula ndéantar oibríochtaí air, agus an dara ceann gan seiceáil ar mhéid na sonraí sula ndéantar é a chóipeáil chuig maolán seasta. D'fhéadfadh na leochaileachtaí a cheadú cód ionsaitheoir a fhorghníomhú nuair a dhéantar iarracht comhaid MXF deartha go speisialta agus meáin AV1 a phróiseáil. Tugtar faoi deara go bhfuil na veicteoirí ionsaí ag brath ar chur i bhfeidhm an iarratais ionsaí. Sannadh leibhéal déine 8.8 as 10 do na saincheisteanna. Réitítear na leochaileachtaí i scaoileadh GStreamer 1.22.7.
  • Aithníodh leochaileachtaí 25 i gcóras oibriúcháin fíor-ama Zephyr RTOS, agus d'fhéadfadh forghníomhú cód ionsaitheora a bheith mar thoradh ar an gcuid is mó díobh. Is iad na leochaileachtaí is cúis le ró-shreabhadh maolánach sa bhlaosc wifi, cruachta Bluetooth, tiománaí IPM, cruach USB, tiománaí IEEE 802.15.4, fochóras Mgmt, córas comhaid, tiománaí eS-WiFi, agus fochóras CANbus. Réitítear an chuid is mó de na leochaileachtaí i scaoileadh Zephyr 3.5.0, ach tá saincheist amháin (CVE-2023-4261) fós gan réiteach (ní fhoilsítear sonraí faoin leochaileacht seo go dtí go bhfuil socrú ar fáil).

Foinse: oscailtenet.ru

Ceannaigh óstáil iontaofa do shuímh le cosaint DDoS, freastalaithe VPS VDS 🔥 Ceannaigh óstáil gréasáin iontaofa le cosaint DDoS, freastalaithe VPS VDS | ProHoster