დაუცველობები systemd, Flatpak, Samba, FreeRDP, Clamav, Node.js-ში

დაუცველობა (CVE-2021-3997) იდენტიფიცირებულია systemd-tmpfiles პროგრამაში, რომელიც იძლევა უკონტროლო რეკურსიის განხორციელების საშუალებას. პრობლემის გამოყენება შესაძლებელია სისტემის ჩატვირთვისას სერვისზე უარის თქმის გამოწვევის მიზნით, დიდი რაოდენობით ქვედირექტორიების შექმნით /tmp დირექტორიაში. შესწორება ამჟამად ხელმისაწვდომია პაჩის სახით. პრობლემის გადასაჭრელად პაკეტის განახლებები შემოთავაზებულია Ubuntu-სა და SUSE-ში, მაგრამ ჯერ არ არის ხელმისაწვდომი Debian-ში, RHEL-სა და Fedora-ში (გამოსწორებები ტესტირების პროცესშია).

ათასობით ქვედირექტორიის შექმნისას, "systemd-tmpfiles --remove" ოპერაციის შესრულება იშლება სტეკის ამოწურვის გამო. როგორც წესი, systemd-tmpfiles უტილიტა ასრულებს დირექტორიების წაშლისა და შექმნის ოპერაციებს ერთი ზარით („systemd-tmpfiles —create —remove —boot —exclude-prefix=/dev“), სადაც ჯერ სრულდება წაშლა და შემდეგ შექმნა, ე.ი. წაშლის ეტაპზე წარუმატებლობა გამოიწვევს /usr/lib/tmpfiles.d/*.conf-ში მითითებულ კრიტიკულ ფაილებს არ შეიქმნება.

ასევე ნახსენებია Ubuntu 21.04-ზე შეტევის უფრო საშიში სცენარი: ვინაიდან systemd-tmpfiles-ის ავარია არ ქმნის /run/lock/subsys ფაილს და /run/lock დირექტორია ყველა მომხმარებლის მიერ არის დაწერილი, თავდამსხმელს შეუძლია შექმნას / გაშვება/დაბლოკვა/ დირექტორია subsys მისი იდენტიფიკატორის ქვეშ და სიმბოლური ბმულების შექმნის გზით, რომლებიც იკვეთება დაბლოკვის ფაილებთან სისტემური პროცესებიდან, ორგანიზებას უწევს სისტემის ფაილების გადაწერას.

გარდა ამისა, ჩვენ შეგვიძლია აღვნიშნოთ Flatpak, Samba, FreeRDP, Clamav და Node.js პროექტების ახალი გამოშვებების გამოქვეყნება, რომლებშიც დაფიქსირებულია დაუცველობა:

• 1.10.6 და 1.12.3 თვითმყოფადი Flatpak პაკეტების შესაქმნელად ინსტრუმენტების მაკორექტირებელ გამოშვებებში დაფიქსირდა ორი დაუცველობა: პირველი დაუცველობა (CVE-2021-43860) საშუალებას იძლევა, არასანდო საცავიდან პაკეტის ჩამოტვირთვისას. მეტამონაცემების მანიპულირება, ინსტალაციის პროცესში გარკვეული გაფართოებული ნებართვების ჩვენების დამალვის მიზნით. მეორე დაუცველობა (CVE-ის გარეშე) საშუალებას აძლევს ბრძანებას „flatpak-builder —mirror-screenshots-url“ შექმნას დირექტორიები ფაილური სისტემის არეალში, build დირექტორიას გარეთ, პაკეტის შეკრების დროს.
• Samba 4.13.16 განახლება აღმოფხვრის დაუცველობას (CVE-2021-43566), რომელიც საშუალებას აძლევს კლიენტს შექმნას დირექტორია სერვერზე ექსპორტირებული FS ზონის გარეთ სიმბოლური ბმულების მანიპულირებით SMB1 ან NFS დანაყოფებზე (პრობლემა გამოწვეულია რასის მდგომარეობით. და ძნელი გამოსაყენებელია პრაქტიკაში, მაგრამ თეორიულად შესაძლებელია). 4.13.16-მდე ვერსიები გავლენას ახდენს პრობლემაზე.

  ასევე გამოქვეყნდა მოხსენება სხვა მსგავსი დაუცველობის შესახებ (CVE-2021-20316), რომელიც ავტორიზებულ კლიენტს საშუალებას აძლევს წაიკითხოს ან შეცვალოს ფაილის ან დირექტორიის მეტამონაცემების შინაარსი FS სერვერის ზონაში ექსპორტირებული განყოფილების გარეთ, სიმბოლური ბმულების მანიპულირების გზით. პრობლემა დაფიქსირდა 4.15.0 გამოშვებაში, მაგრამ ასევე გავლენას ახდენს წინა ფილიალებზე. თუმცა, ძველი ფილიალების შესწორებები არ გამოქვეყნდება, რადგან ძველი Samba VFS არქიტექტურა არ იძლევა პრობლემის გადაჭრის საშუალებას, მეტამონაცემების ოპერაციების ფაილის ბილიკებთან დაკავშირების გამო (Samba 4.15-ში VFS ფენა მთლიანად შეიცვალა). რაც პრობლემას ნაკლებად საშიშს ხდის არის ის, რომ მისი ფუნქციონირება საკმაოდ რთულია და მომხმარებლის წვდომის უფლებები უნდა აძლევდეს საშუალებას წაიკითხოს ან ჩაწეროს სამიზნე ფაილში ან დირექტორიაში.

• FreeRDP 2.5 პროექტის გამოშვება, რომელიც გთავაზობთ დისტანციური დესკტოპის პროტოკოლის (RDP) უფასო განხორციელებას, ასწორებს უსაფრთხოების სამ პრობლემას (CVE იდენტიფიკატორები არ არის მინიჭებული), რამაც შეიძლება გამოიწვიოს ბუფერის გადაჭარბება არასწორი ლოკალის გამოყენებისას, სპეციალურად შემუშავებული რეესტრის დამუშავებისას. პარამეტრები და არასწორად ფორმატირებული დანამატის სახელის მითითება. ახალ ვერსიაში ცვლილებები მოიცავს OpenSSL 3.0 ბიბლიოთეკის მხარდაჭერას, TcpConnectTimeout პარამეტრის განხორციელებას, LibreSSL-თან გაუმჯობესებულ თავსებადობას და ბუფერთან დაკავშირებული პრობლემების გადაჭრას Wayland-ზე დაფუძნებულ გარემოში.
• უფასო ანტივირუსული პაკეტის ClamAV 0.103.5 და 0.104.2 ახალი გამოშვებები აღმოფხვრის დაუცველობას CVE-2022-20698, რომელიც ასოცირდება მაჩვენებლის არასწორ წაკითხვასთან და საშუალებას გაძლევთ დისტანციურად გამოიწვიოს პროცესის ავარია, თუ პაკეტი შედგენილია libjson-თან. c ბიბლიოთეკა და CL_SCAN_GENERAL_COLLECT_METADATA ოფცია ჩართულია პარამეტრებში (clamscan --gen-json).
• Node.js პლატფორმის განახლებები 16.13.2, 14.18.3, 17.3.1 და 12.22.9 აფიქსირებს ოთხ დაუცველობას: სერთიფიკატის გადამოწმების გვერდის ავლით ქსელის კავშირის გადამოწმებისას SAN-ის (Subject Alternative Names) არასწორი გადაყვანის გამო სიმებიანი ფორმატში (CVE-). 2021 -44532); არასწორად დამუშავება საგნისა და ემიტენტის ველებში მრავლობითი მნიშვნელობების დათვლას, რომელიც შეიძლება გამოყენებულ იქნას სერტიფიკატებში აღნიშნული ველების გადამოწმების გვერდის ავლით (CVE-2021-44533); გვერდის ავლით შეზღუდვები, რომლებიც დაკავშირებულია SAN URI ტიპთან სერტიფიკატებში (CVE-2021-44531); არასაკმარისი შეყვანის ვალიდაცია console.table() ფუნქციაში, რომელიც შეიძლება გამოყენებულ იქნას ციფრულ გასაღებებზე ცარიელი სტრიქონების მინიჭებისთვის (CVE-2022-21824).

წყარო: opennet.ru