Ua ʻike ʻia kahi haʻahaʻa (CVE-2021-3997) ma ka ʻōnaehana systemd-tmpfiles e hiki ai ke hoʻihoʻi ʻole ʻia. Hiki ke hoʻohana ʻia ka pilikia no ka hōʻole ʻana i ka lawelawe i ka wā o ka boot system ma o ka hoʻokumu ʻana i ka nui o nā subdirectories i ka papa kuhikuhi /tmp. Loaʻa ka hoʻoponopono i kēia manawa ma ke ʻano patch. Hāʻawi ʻia nā hōʻano hou no ka hoʻoponopono ʻana i ka pilikia ma Ubuntu a me SUSE, akā ʻaʻole i loaʻa ma Debian, RHEL a me Fedora (nā hoʻoponopono i ka hoʻāʻo ʻana).
I ka hana ʻana i mau kaukani subdirectories, e hoʻokō ana i ka hana "systemd-tmpfiles --remove" i hāʻule ma muli o ka pau ʻana o ka stack. ʻO ka maʻamau, hana ka systemd-tmpfiles i nā hana o ka holoi ʻana a me ka hana ʻana i nā papa kuhikuhi i hoʻokahi kelepona ("systemd-tmpfiles -create -remove -boot -exclude-prefix=/dev"), me ka holoi ʻana i hana mua ʻia a laila ka hana ʻana, ʻo ia. ʻAʻole i hana ʻia nā faila koʻikoʻi i hōʻike ʻia ma /usr/lib/tmpfiles.d/*.conf inā ʻaʻole hiki i ka wā holoi.
Ua ʻōlelo pū ʻia kekahi ʻano hoʻouka kaua weliweli ma Ubuntu 21.04: no ka mea ʻaʻole i hoʻokumu ka ulia o systemd-tmpfiles i ka faila /run/lock/subsys, a hiki ke kākau ʻia ka papa kuhikuhi / run/lock e nā mea hoʻohana āpau, hiki i ka mea hoʻouka ke hana i kahi / run/lock/ directory subsys under its identifier and, ma o ka hana ana i na loulou symbolic intersecting with lock files from system systems, hoonohonoho i ka overwriting o na waihona waihona.
Eia hou, hiki iā mākou ke hoʻomaopopo i ka hoʻolaha ʻana o nā hoʻokuʻu hou o nā papahana Flatpak, Samba, FreeRDP, Clamav a me Node.js, kahi i hoʻopaʻa ʻia ai nā nāwaliwali:
- I nā hoʻokuʻu hoʻoponopono ʻana o ka pahu hana no ke kūkulu ʻana i nā pūʻulu Flatpak ponoʻī 1.10.6 a me 1.12.3, ua hoʻopaʻa ʻia ʻelua mau nāwaliwali: ʻO ka nāwaliwali mua (CVE-2021-43860) e ʻae, i ka wā e hoʻoiho ai i kahi pūʻolo mai kahi waihona hilinaʻi ʻole, ma o manipulation of metadata, e hūnā i ka hōʻike ʻana o kekahi mau ʻae holomua i ka wā o ke kaʻina hana. ʻO ka lua o ka vulnerability (me ka ʻole CVE) e ʻae i ke kauoha "flatpak-builder -mirror-screenshots-url" e hana i nā papa kuhikuhi ma ka ʻōnaehana waihona ma waho o ka papa kuhikuhi kūkulu i ka wā o ka hui pūʻulu.
- Hoʻopau ka Samba 4.13.16 update i kahi nāwaliwali (CVE-2021-43566) e hiki ai i kahi mea kūʻai ke hana i kahi papa kuhikuhi ma ka kikowaena ma waho o ka wahi FS i lawe ʻia ma ka hoʻohana ʻana i nā loulou hōʻailona ma nā ʻāpana SMB1 a i ʻole NFS (ua hoʻokumu ʻia ka pilikia e kahi kūlana lāhui. a paʻakikī e hoʻohana i ka hana, akā hiki ke theoretically). Hoʻopili ʻia nā mana ma mua o 4.13.16 e ka pilikia.
Ua paʻi pū ʻia kahi hōʻike e pili ana i kahi nāwaliwali like ʻole (CVE-2021-20316), e hiki ai i kahi mea kūʻai aku i hōʻoia ʻia e heluhelu a hoʻololi paha i nā ʻike o kahi faila a i ʻole metadata papa kuhikuhi ma ka wahi kikowaena FS ma waho o ka ʻāpana i lawe ʻia ma o ka hoʻohana ʻana i nā loulou hōʻailona. Hoʻopaʻa ʻia ka pilikia ma ka hoʻokuʻu 4.15.0, akā pili pū kekahi i nā lālā mua. Eia naʻe, ʻaʻole e paʻi ʻia nā hoʻoponopono no nā lālā kahiko, no ka mea, ʻaʻole ʻae ʻia ka hoʻoponopono ʻana i ka pilikia ma muli o ka hoʻopaʻa ʻana o nā hana metadata i nā ala faila (ma Samba 4.15 ua hoʻolālā hou ʻia ka papa VFS). ʻO ka mea e emi ai ka pilikia, ʻo ia ka paʻakikī o ka hana ʻana a pono e ʻae nā kuleana komo o ka mea hoʻohana i ka heluhelu a kākau ʻana i ka faila a i ʻole ka papa kuhikuhi.
- ʻO ka hoʻokuʻu ʻia ʻana o ka papahana FreeRDP 2.5, e hāʻawi ana i kahi hoʻokō manuahi o ka Remote Desktop Protocol (RDP), hoʻoponopono i ʻekolu mau pilikia palekana (ʻaʻole i hāʻawi ʻia nā CVE identifiers) hiki ke alakaʻi i ka hoʻoheheʻe ʻana i ka wā e hoʻohana ai i kahi wahi kūpono ʻole, ka hana ʻana i ka papa inoa i hoʻolālā ʻia. hoʻonohonoho a hōʻike i kahi inoa hoʻohui hewa ʻole. Hoʻololi ʻia ka mana hou i ke kākoʻo no ka waihona OpenSSL 3.0, ka hoʻokō ʻana i ka hoʻonohonoho TcpConnectTimeout, hoʻomaikaʻi maikaʻi ʻia me LibreSSL a me kahi hoʻonā i nā pilikia me ka clipboard ma Wayland-based environment.
- ʻO nā hoʻokuʻu hou o ka pūʻolo antivirus manuahi ʻo ClamAV 0.103.5 a me 0.104.2 e hoʻopau i ka vulnerability CVE-2022-20698, e pili ana me ka heluhelu kuhikuhi pololei ʻole a hiki iā ʻoe ke hana mamao i kahi kaʻina hana inā hui ʻia ka pūʻolo me ka libjson- c hale waihona puke a me ke koho CL_SCAN_GENERAL_COLLECT_METADATA i nā hoʻonohonoho (clamscan --gen-json).
- Hoʻoponopono ka paepae Node.js i ka 16.13.2, 14.18.3, 17.3.1 a me 12.22.9 i ʻehā mau nāwaliwali: ke kāpae ʻana i ka hōʻoia palapala hōʻoia i ka wā e hōʻoia ai i kahi pilina pūnaewele ma muli o ka hoʻololi hewa ʻana o SAN (Subject Alternative Names) i ka hōʻano string (CVE- 2021 -44532); ka hana hewa ʻole o ka helu ʻana o nā waiwai he nui i ke kumuhana a me nā kahua hoʻopuka, hiki ke hoʻohana ʻia e kāpae i ka hōʻoia ʻana o nā kahua i ʻōlelo ʻia i nā palapala hōʻoia (CVE-2021-44533); kaʻa kaʻa e pili ana i ke ʻano SAN URI i nā palapala hōʻoia (CVE-2021-44531); ʻAʻole lawa ka hōʻoia hoʻokomo ʻana ma ka console.table() hana, hiki ke hoʻohana ʻia no ka hāʻawi ʻana i nā kaula hakahaka i nā kī kikohoʻe (CVE-2022-21824).
Source: opennet.ru