GNU ಮೇಲ್ಮ್ಯಾನ್ 2.1.35 ಮೇಲಿಂಗ್ ನಿರ್ವಹಣಾ ವ್ಯವಸ್ಥೆಯ ಸರಿಪಡಿಸುವ ಬಿಡುಗಡೆಯನ್ನು ಪ್ರಕಟಿಸಲಾಗಿದೆ, ಇದನ್ನು ವಿವಿಧ ಮುಕ್ತ-ಮೂಲ ಯೋಜನೆಗಳಲ್ಲಿ ಡೆವಲಪರ್ಗಳ ನಡುವೆ ಸಂವಹನವನ್ನು ಸಂಘಟಿಸಲು ಬಳಸಲಾಗುತ್ತದೆ. ನವೀಕರಣವು ಎರಡು ದುರ್ಬಲತೆಗಳನ್ನು ತಿಳಿಸುತ್ತದೆ: ಮೊದಲ ದುರ್ಬಲತೆ (CVE-2021-42096) ಆ ಮೇಲಿಂಗ್ ಪಟ್ಟಿಗೆ ನಿರ್ವಾಹಕ ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ನಿರ್ಧರಿಸಲು ಮೇಲಿಂಗ್ ಪಟ್ಟಿಗೆ ಚಂದಾದಾರರಾಗಿರುವ ಯಾವುದೇ ಬಳಕೆದಾರರಿಗೆ ಅನುಮತಿಸುತ್ತದೆ. ಎರಡನೇ ದುರ್ಬಲತೆ (CVE-2021-42097) ತನ್ನ ಖಾತೆಯನ್ನು ವಶಪಡಿಸಿಕೊಳ್ಳಲು ಮತ್ತೊಂದು ಮೇಲಿಂಗ್ ಪಟ್ಟಿ ಬಳಕೆದಾರರ ಮೇಲೆ CSRF ದಾಳಿಯನ್ನು ನಡೆಸಲು ಸಾಧ್ಯವಾಗಿಸುತ್ತದೆ. ಮೇಲಿಂಗ್ ಪಟ್ಟಿಯ ಚಂದಾದಾರರ ಸದಸ್ಯರಿಂದ ಮಾತ್ರ ದಾಳಿಯನ್ನು ನಡೆಸಬಹುದು. ಮೇಲ್ಮ್ಯಾನ್ 3 ಈ ಸಮಸ್ಯೆಯಿಂದ ಪ್ರಭಾವಿತವಾಗಿಲ್ಲ.
ಆಯ್ಕೆಗಳ ಪುಟದಲ್ಲಿ CSRF ದಾಳಿಯಿಂದ ರಕ್ಷಿಸಲು ಬಳಸಲಾಗುವ csrf_token ಮೌಲ್ಯವು ಯಾವಾಗಲೂ ನಿರ್ವಾಹಕರ ಟೋಕನ್ನಂತೆಯೇ ಇರುತ್ತದೆ ಮತ್ತು ಪ್ರಸ್ತುತ ಅಧಿವೇಶನದ ಬಳಕೆದಾರರಿಗೆ ಪ್ರತ್ಯೇಕವಾಗಿ ರಚಿಸಲಾಗಿಲ್ಲ ಎಂಬ ಅಂಶದಿಂದ ಎರಡೂ ಸಮಸ್ಯೆಗಳು ಉಂಟಾಗುತ್ತವೆ. csrf_token ಅನ್ನು ರಚಿಸುವಾಗ, ನಿರ್ವಾಹಕರ ಪಾಸ್ವರ್ಡ್ನ ಹ್ಯಾಶ್ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಬಳಸಲಾಗುತ್ತದೆ, ಇದು ವಿವೇಚನಾರಹಿತ ಶಕ್ತಿಯಿಂದ ಪಾಸ್ವರ್ಡ್ನ ನಿರ್ಣಯವನ್ನು ಸರಳಗೊಳಿಸುತ್ತದೆ. ಒಬ್ಬ ಬಳಕೆದಾರರಿಗಾಗಿ ರಚಿಸಲಾದ csrf_token ಮತ್ತೊಂದು ಬಳಕೆದಾರರಿಗೆ ಸಹ ಸೂಕ್ತವಾಗಿದೆ, ಆಕ್ರಮಣಕಾರರು ಪುಟವನ್ನು ರಚಿಸಬಹುದು, ಅದು ಇನ್ನೊಬ್ಬ ಬಳಕೆದಾರರಿಂದ ತೆರೆದಾಗ, ಈ ಬಳಕೆದಾರರ ಪರವಾಗಿ ಮೇಲ್ಮ್ಯಾನ್ ಇಂಟರ್ಫೇಸ್ನಲ್ಲಿ ಆಜ್ಞೆಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದು ಮತ್ತು ಅವನ ಖಾತೆಯ ನಿಯಂತ್ರಣವನ್ನು ಪಡೆಯಬಹುದು.
ಮೂಲ: opennet.ru