В POP3/IMAP4 ಸರ್ವರ್ಗಳು 2.3.7.2 ಮತ್ತು 2.2.36.4, ಜೊತೆಗೆ ಪೂರಕದಲ್ಲಿ , ತೆಗೆದುಹಾಕಲಾಗಿದೆ (), ಇದು IMAP ಅಥವಾ ManageSieve ಪ್ರೋಟೋಕಾಲ್ಗಳ ಮೂಲಕ ವಿಶೇಷವಾಗಿ ವಿನ್ಯಾಸಗೊಳಿಸಿದ ವಿನಂತಿಯನ್ನು ಕಳುಹಿಸುವ ಮೂಲಕ ನಿಯೋಜಿಸಲಾದ ಬಫರ್ನ ಆಚೆಗೆ ಡೇಟಾವನ್ನು ಬರೆಯಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ.
ದೃಢೀಕರಣದ ಪೂರ್ವ ಹಂತದಲ್ಲಿ ಸಮಸ್ಯೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳಬಹುದು. ಕೆಲಸದ ಶೋಷಣೆಯನ್ನು ಇನ್ನೂ ಸಿದ್ಧಪಡಿಸಲಾಗಿಲ್ಲ, ಆದರೆ ಡವ್ಕಾಟ್ ಡೆವಲಪರ್ಗಳು ಸಿಸ್ಟಮ್ನಲ್ಲಿ ರಿಮೋಟ್ ಕೋಡ್ ಎಕ್ಸಿಕ್ಯೂಶನ್ ದಾಳಿಗಳನ್ನು ಸಂಘಟಿಸಲು ಅಥವಾ ಗೌಪ್ಯ ಡೇಟಾವನ್ನು ಸೋರಿಕೆ ಮಾಡಲು ದುರ್ಬಲತೆಯನ್ನು ಬಳಸುವ ಸಾಧ್ಯತೆಯನ್ನು ತಳ್ಳಿಹಾಕುವುದಿಲ್ಲ. ಎಲ್ಲಾ ಬಳಕೆದಾರರಿಗೆ ತಕ್ಷಣವೇ ನವೀಕರಣಗಳನ್ನು ಸ್ಥಾಪಿಸಲು ಶಿಫಾರಸು ಮಾಡಲಾಗಿದೆ (, , , , , , ).
ದುರ್ಬಲತೆಯು IMAP ಮತ್ತು ManageSieve ಪ್ರೋಟೋಕಾಲ್ ಪಾರ್ಸರ್ಗಳಲ್ಲಿ ಅಸ್ತಿತ್ವದಲ್ಲಿದೆ ಮತ್ತು ಉಲ್ಲೇಖಿಸಿದ ಸ್ಟ್ರಿಂಗ್ಗಳ ಒಳಗೆ ಡೇಟಾವನ್ನು ಪಾರ್ಸ್ ಮಾಡುವಾಗ ಶೂನ್ಯ ಅಕ್ಷರಗಳ ತಪ್ಪಾದ ಪ್ರಕ್ರಿಯೆಯಿಂದ ಉಂಟಾಗುತ್ತದೆ. ನಿಯೋಜಿಸಲಾದ ಬಫರ್ನ ಹೊರಗೆ ಸಂಗ್ರಹಿಸಲಾದ ವಸ್ತುಗಳಿಗೆ ಅನಿಯಂತ್ರಿತ ಡೇಟಾವನ್ನು ಬರೆಯುವ ಮೂಲಕ ಸಮಸ್ಯೆಯನ್ನು ಸಾಧಿಸಲಾಗುತ್ತದೆ (ದೃಢೀಕರಣದ ಮೊದಲು ಹಂತದಲ್ಲಿ 8 KB ವರೆಗೆ ಮತ್ತು ದೃಢೀಕರಣದ ನಂತರ 64 KB ವರೆಗೆ ತಿದ್ದಿ ಬರೆಯಬಹುದು).
ಬೈ Red Hat ಇಂಜಿನಿಯರ್ಗಳ ಪ್ರಕಾರ, ನೈಜ ದಾಳಿಗಳಿಗೆ ಸಮಸ್ಯೆಯನ್ನು ಬಳಸುವುದು ಕಷ್ಟಕರವಾಗಿದೆ ಏಕೆಂದರೆ ಆಕ್ರಮಣಕಾರರು ರಾಶಿಯಲ್ಲಿ ಅನಿಯಂತ್ರಿತ ಡೇಟಾ ಓವರ್ರೈಟ್ಗಳ ಸ್ಥಾನವನ್ನು ನಿಯಂತ್ರಿಸಲು ಸಾಧ್ಯವಿಲ್ಲ. ಪ್ರತಿಕ್ರಿಯೆಯಾಗಿ, ಈ ವೈಶಿಷ್ಟ್ಯವು ದಾಳಿಯನ್ನು ಗಮನಾರ್ಹವಾಗಿ ಸಂಕೀರ್ಣಗೊಳಿಸುತ್ತದೆ, ಆದರೆ ಅದರ ಅನುಷ್ಠಾನವನ್ನು ಹೊರತುಪಡಿಸುವುದಿಲ್ಲ ಎಂಬ ಅಭಿಪ್ರಾಯವನ್ನು ವ್ಯಕ್ತಪಡಿಸಲಾಗುತ್ತದೆ - ಆಕ್ರಮಣಕಾರನು ರಾಶಿಯಲ್ಲಿ ಕೆಲಸ ಮಾಡುವ ಪ್ರದೇಶಕ್ಕೆ ಬರುವವರೆಗೆ ಅನೇಕ ಬಾರಿ ಶೋಷಣೆಯ ಪ್ರಯತ್ನವನ್ನು ಪುನರಾವರ್ತಿಸಬಹುದು.
ಮೂಲ: opennet.ru