ಟೂಲ್ಕಿಟ್ಗೆ ಸರಿಪಡಿಸುವ ನವೀಕರಣಗಳು ಸ್ವಯಂ-ಒಳಗೊಂಡಿರುವ ಫ್ಲಾಟ್ಪ್ಯಾಕ್ ಪ್ಯಾಕೇಜ್ಗಳನ್ನು 1.14.4, 1.12.8, 1.10.8 ಮತ್ತು 1.15.4 ರಚಿಸಲು ಲಭ್ಯವಿದೆ, ಇದು ಎರಡು ದೋಷಗಳನ್ನು ಸರಿಪಡಿಸುತ್ತದೆ:
- CVE-2023-28100 - ಆಕ್ರಮಣಕಾರರಿಂದ ಸಿದ್ಧಪಡಿಸಲಾದ ಫ್ಲಾಟ್ಪ್ಯಾಕ್ ಪ್ಯಾಕೇಜ್ ಅನ್ನು ಸ್ಥಾಪಿಸುವಾಗ TIOCLINUX ioctl ಕುಶಲತೆಯ ಮೂಲಕ ವರ್ಚುವಲ್ ಕನ್ಸೋಲ್ ಇನ್ಪುಟ್ ಬಫರ್ಗೆ ಪಠ್ಯವನ್ನು ನಕಲಿಸುವ ಮತ್ತು ಬದಲಿಸುವ ಸಾಮರ್ಥ್ಯ. ಉದಾಹರಣೆಗೆ, ಮೂರನೇ ವ್ಯಕ್ತಿಯ ಪ್ಯಾಕೇಜ್ನ ಅನುಸ್ಥಾಪನಾ ಪ್ರಕ್ರಿಯೆಯು ಪೂರ್ಣಗೊಂಡ ನಂತರ ಕನ್ಸೋಲ್ನಲ್ಲಿ ಅನಿಯಂತ್ರಿತ ಆಜ್ಞೆಗಳನ್ನು ಪ್ರಾರಂಭಿಸಲು ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಬಹುದು. ಸಮಸ್ಯೆಯು ಕ್ಲಾಸಿಕ್ ವರ್ಚುವಲ್ ಕನ್ಸೋಲ್ನಲ್ಲಿ ಮಾತ್ರ ಕಾಣಿಸಿಕೊಳ್ಳುತ್ತದೆ (/dev/tty1, /dev/tty2, ಇತ್ಯಾದಿ.) ಮತ್ತು xterm, gnome-terminal, Konsole ಮತ್ತು ಇತರ ಚಿತ್ರಾತ್ಮಕ ಟರ್ಮಿನಲ್ಗಳಲ್ಲಿನ ಸೆಷನ್ಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುವುದಿಲ್ಲ. ದುರ್ಬಲತೆಯು ಫ್ಲಾಟ್ಪ್ಯಾಕ್ಗೆ ನಿರ್ದಿಷ್ಟವಾಗಿಲ್ಲ ಮತ್ತು ಇತರ ಅಪ್ಲಿಕೇಶನ್ಗಳ ಮೇಲೆ ದಾಳಿ ಮಾಡಲು ಬಳಸಬಹುದು, ಉದಾಹರಣೆಗೆ, TIOCSTI ioctl ಇಂಟರ್ಫೇಸ್ ಮೂಲಕ ಅಕ್ಷರ ಪರ್ಯಾಯವನ್ನು ಅನುಮತಿಸುವ ಹಿಂದಿನ ರೀತಿಯ ದುರ್ಬಲತೆಗಳು /bin/sandbox ಮತ್ತು snap ನಲ್ಲಿ ಕಂಡುಬಂದಿವೆ.
- CVE-2023-28101 - ಕಮಾಂಡ್ ಲೈನ್ ಇಂಟರ್ಫೇಸ್ ಮೂಲಕ ಪ್ಯಾಕೇಜ್ನ ನವೀಕರಣ ಅಥವಾ ಅನುಸ್ಥಾಪನೆಯ ಸಮಯದಲ್ಲಿ ವಿನಂತಿಸಿದ ವಿಸ್ತೃತ ಅನುಮತಿಗಳ ಕುರಿತು ಟರ್ಮಿನಲ್ ಔಟ್ಪುಟ್ ಮಾಹಿತಿಯನ್ನು ಮರೆಮಾಡಲು ಪ್ಯಾಕೇಜ್ ಮೆಟಾಡೇಟಾದಲ್ಲಿನ ಅನುಮತಿಗಳ ಪಟ್ಟಿಯಲ್ಲಿ ಎಸ್ಕೇಪ್ ಸೀಕ್ವೆನ್ಸ್ಗಳನ್ನು ಬಳಸಲು ಸಾಧ್ಯವಿದೆ. ಪ್ಯಾಕೇಜ್ನಲ್ಲಿ ಬಳಸಲಾದ ರುಜುವಾತುಗಳ ಬಗ್ಗೆ ಬಳಕೆದಾರರನ್ನು ತಪ್ಪುದಾರಿಗೆಳೆಯಲು ದಾಳಿಕೋರರು ಈ ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳಬಹುದು. GNOME ಸಾಫ್ಟ್ವೇರ್ ಮತ್ತು KDE ಪ್ಲಾಸ್ಮಾ ಡಿಸ್ಕವರ್ನಂತಹ ಫ್ಲಾಟ್ಪ್ಯಾಕ್ ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ಸ್ಥಾಪಿಸಲು GUI ಗಳು ಈ ಸಮಸ್ಯೆಯಿಂದ ಪ್ರಭಾವಿತವಾಗಿಲ್ಲ.
ಮೂಲ: opennet.ru