ProHoster > Pūnaewele > nūhou pūnaewele > ʻO ka vulnerability i FreeBSD ftpd i ʻae i ke aʻa i ka wā e hoʻohana ai i ftpchroot

ʻO ka vulnerability i FreeBSD ftpd i ʻae i ke aʻa i ka wā e hoʻohana ai i ftpchroot

Ma ka kikowaena ftpd i hoʻolako ʻia me FreeBSD ʻike ʻia pilikia koʻikoʻi (CVE-2020-7468), e ʻae ana i nā mea hoʻohana i kaupalena ʻia i kā lākou papa kuhikuhi home me ka hoʻohana ʻana i ke koho ftpchroot e loaʻa i ke aʻa piha i ka ʻōnaehana.

ʻO ka pilikia ma muli o ka hui pū ʻana o kahi bug i ka hoʻokō ʻana i ka mīkini hoʻokaʻawale mea hoʻohana me ka hoʻohana ʻana i ke kelepona chroot (inā ʻaʻole i pau ke kaʻina hana o ka hoʻololi ʻana i ka uid a i ʻole ka hoʻokō ʻana i ka chroot a me ka chdir, ua hoʻolei ʻia kahi hewa non-fatal e hoʻopau ʻole i ka hālāwai). a me ka hāʻawi ʻana i ka mea hoʻohana FTP i hoʻopaʻa ʻia i nā kuleana kūpono e kāpae i ke kaohi ʻana i ke ala kumu ma ka ʻōnaehana faila. ʻAʻole hiki i ka nāwaliwali ke komo i kahi kikowaena FTP ma ke ʻano inoa ʻole a i ʻole ke komo piha ʻana o ka mea hoʻohana me ka ʻole ftpchroot. Hoʻoholo ʻia ka pilikia ma nā mea hou 12.1-RELEASE-p10, 11.4-RELEASE-p4 a me 11.3-RELEASE-p14.

Eia hou, hiki iā mākou ke hoʻomaopopo i ka hoʻopau ʻia ʻana o ʻekolu mau mea palupalu ma 12.1-RELEASE-p10, 11.4-RELEASE-p4 a me 11.3-RELEASE-p14:

  • CVE-2020-7467 - kahi palupalu i ka Bhyve hypervisor, ka mea e hiki ai i ke kaiapuni malihini ke kākau i ka ʻike i ka wahi hoʻomanaʻo o ka ʻāina hoʻokipa a loaʻa ke komo piha i ka ʻōnaehana host. Hoʻokumu ʻia ka pilikia ma muli o ka nele o ke komo ʻana i nā ʻōlelo aʻoaʻo e hana pū ana me nā ʻōlelo hoʻokipa kino, a ʻike wale ʻia ma nā ʻōnaehana me nā CPU AMD.
  • CVE-2020-24718 - he palupalu i ka Bhyve hypervisor e hiki ai i ka mea hoʻouka me nā kuleana kumu i loko o nā kaiapuni i hoʻokaʻawale ʻia me Bhyve e hoʻokō i ke code ma ka pae kernel. Hoʻokumu ʻia ka pilikia ma muli o ka nele o nā palena kūpono i ka VMCS (Virtual Machine Control Structure) i nā ʻōnaehana me nā Intel CPU a me VMCB (Virtual.
    Machine Control Block) ma nā ʻōnaehana me nā CPU AMD.

  • CVE-2020-7464 - he palupalu i ka mea hoʻokele ure (USB Ethernet Realtek RTL8152 a me RTL8153), e ʻae ai i ka spoofing packet mai nā pūʻali ʻē aʻe a i ʻole ke hoʻololi ʻana i nā paʻi i nā VLAN ʻē aʻe ma o ka hoʻouna ʻana i nā kiʻi nui (ʻoi aku ma mua o 2048).

Source: opennet.ru

Pākuʻi i ka manaʻo hoʻopuka