ಪ್ಯಾಕೇಜ್ ಪಿಪಿಪಿಡಿಯಲ್ಲಿ (), PPP (ಪಾಯಿಂಟ್-ಟು-ಪಾಯಿಂಟ್ ಪ್ರೋಟೋಕಾಲ್) ಅಥವಾ PPPoE (PPP ಓವರ್ ಈಥರ್ನೆಟ್) ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ಸಿಸ್ಟಮ್ಗಳಿಗೆ ವಿಶೇಷವಾಗಿ ವಿನ್ಯಾಸಗೊಳಿಸಿದ ದೃಢೀಕರಣ ವಿನಂತಿಗಳನ್ನು ಕಳುಹಿಸುವ ಮೂಲಕ ನಿಮ್ಮ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. ಈ ಪ್ರೋಟೋಕಾಲ್ಗಳನ್ನು ಸಾಮಾನ್ಯವಾಗಿ ಪೂರೈಕೆದಾರರು ಈಥರ್ನೆಟ್ ಅಥವಾ DSL ಮೂಲಕ ಸಂಪರ್ಕಗಳನ್ನು ಸಂಘಟಿಸಲು ಬಳಸುತ್ತಾರೆ ಮತ್ತು ಕೆಲವು VPN ಗಳಲ್ಲಿಯೂ ಸಹ ಬಳಸಲಾಗುತ್ತದೆ (ಉದಾಹರಣೆಗೆ, pptpd ಮತ್ತು ) ನಿಮ್ಮ ಸಿಸ್ಟಂಗಳು ಸಮಸ್ಯೆಯಿಂದ ಪ್ರಭಾವಿತವಾಗಿದೆಯೇ ಎಂದು ಪರಿಶೀಲಿಸಲು ಮೂಲಮಾದರಿಯನ್ನು ಬಳಸಿಕೊಳ್ಳಿ.
EAP (ಎಕ್ಸ್ಟೆನ್ಸಿಬಲ್ ಅಥೆಂಟಿಕೇಶನ್ ಪ್ರೋಟೋಕಾಲ್) ದೃಢೀಕರಣ ಪ್ರೋಟೋಕಾಲ್ನ ಅನುಷ್ಠಾನದಲ್ಲಿ ಬಫರ್ ಓವರ್ಫ್ಲೋನಿಂದ ದುರ್ಬಲತೆ ಉಂಟಾಗುತ್ತದೆ. ನಿಯೋಜಿಸಲಾದ ಬಫರ್ಗೆ ಹೊಂದಿಕೆಯಾಗದ ಅತಿ ಉದ್ದದ ಹೋಸ್ಟ್ ಹೆಸರನ್ನು ಒಳಗೊಂಡಂತೆ, EAPT_MD5CHAP ಪ್ರಕಾರದೊಂದಿಗೆ ಪ್ಯಾಕೆಟ್ ಅನ್ನು ಕಳುಹಿಸುವ ಮೂಲಕ ಪೂರ್ವ-ದೃಢೀಕರಣ ಹಂತದಲ್ಲಿ ದಾಳಿಯನ್ನು ನಡೆಸಬಹುದು. ರೋಸ್ಟ್ ನೇಮ್ ಕ್ಷೇತ್ರದ ಗಾತ್ರವನ್ನು ಪರಿಶೀಲಿಸಲು ಕೋಡ್ನಲ್ಲಿನ ದೋಷದಿಂದಾಗಿ, ಆಕ್ರಮಣಕಾರರು ಸ್ಟಾಕ್ನಲ್ಲಿ ಬಫರ್ನ ಹೊರಗೆ ಡೇಟಾವನ್ನು ಮೇಲ್ಬರಹ ಮಾಡಬಹುದು ಮತ್ತು ಮೂಲ ಹಕ್ಕುಗಳೊಂದಿಗೆ ತಮ್ಮ ಕೋಡ್ನ ರಿಮೋಟ್ ಎಕ್ಸಿಕ್ಯೂಶನ್ ಸಾಧಿಸಬಹುದು. ದುರ್ಬಲತೆಯು ಸರ್ವರ್ ಮತ್ತು ಕ್ಲೈಂಟ್ ಬದಿಗಳಲ್ಲಿ ಸ್ವತಃ ಪ್ರಕಟವಾಗುತ್ತದೆ, ಅಂದರೆ. ಸರ್ವರ್ನ ಮೇಲೆ ದಾಳಿ ಮಾಡಬಹುದು, ಆದರೆ ಕ್ಲೈಂಟ್ ಆಕ್ರಮಣಕಾರರಿಂದ ನಿಯಂತ್ರಿಸಲ್ಪಡುವ ಸರ್ವರ್ಗೆ ಸಂಪರ್ಕಿಸಲು ಪ್ರಯತ್ನಿಸುತ್ತದೆ (ಉದಾಹರಣೆಗೆ, ಆಕ್ರಮಣಕಾರರು ಮೊದಲು ದುರ್ಬಲತೆಯ ಮೂಲಕ ಸರ್ವರ್ ಅನ್ನು ಹ್ಯಾಕ್ ಮಾಡಬಹುದು ಮತ್ತು ನಂತರ ಸಂಪರ್ಕಿಸುವ ಗ್ರಾಹಕರ ಮೇಲೆ ದಾಳಿ ಮಾಡಲು ಪ್ರಾರಂಭಿಸಬಹುದು).
ಸಮಸ್ಯೆಯು ಆವೃತ್ತಿಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುತ್ತದೆ 2.4.2 ರಿಂದ 2.4.8 ವರೆಗೆ ಮತ್ತು ರೂಪದಲ್ಲಿ ತೆಗೆದುಹಾಕಲಾಗಿದೆ . ದುರ್ಬಲತೆ ಕೂಡ ಪೇರಿಸಿ , ಆದರೆ lwIP ನಲ್ಲಿನ ಪೂರ್ವನಿಯೋಜಿತ ಸಂರಚನೆಯು EAP ಬೆಂಬಲವನ್ನು ಸಕ್ರಿಯಗೊಳಿಸುವುದಿಲ್ಲ.
ವಿತರಣಾ ಕಿಟ್ಗಳಲ್ಲಿನ ಸಮಸ್ಯೆಯನ್ನು ಸರಿಪಡಿಸುವ ಸ್ಥಿತಿಯನ್ನು ಈ ಪುಟಗಳಲ್ಲಿ ವೀಕ್ಷಿಸಬಹುದು: , , , , , , , . RHEL, OpenWRT ಮತ್ತು SUSE ಗಳಲ್ಲಿ, pppd ಪ್ಯಾಕೇಜ್ ಅನ್ನು "ಸ್ಟಾಕ್ ಸ್ಮಾಶಿಂಗ್ ಪ್ರೊಟೆಕ್ಷನ್" ರಕ್ಷಣೆಯೊಂದಿಗೆ ನಿರ್ಮಿಸಲಾಗಿದೆ (gcc ನಲ್ಲಿ "-fstack-protector" ಮೋಡ್), ಇದು ಶೋಷಣೆಯನ್ನು ವೈಫಲ್ಯಕ್ಕೆ ಸೀಮಿತಗೊಳಿಸುತ್ತದೆ. ವಿತರಣೆಗಳ ಜೊತೆಗೆ, ಕೆಲವು ಉತ್ಪನ್ನಗಳಲ್ಲಿ ದುರ್ಬಲತೆಯನ್ನು ಸಹ ದೃಢೀಕರಿಸಲಾಗಿದೆ (ಕರೆ ನಿರ್ವಾಹಕ) ಮತ್ತು pppd ಅಥವಾ lwIP ಕೋಡ್ ಬಳಸಿ ಸಿನಾಲಜಿ (ಡಿಸ್ಕ್ ಸ್ಟೇಷನ್ ಮ್ಯಾನೇಜರ್, ವಿಷುಯಲ್ ಸ್ಟೇಷನ್ VS960HD ಮತ್ತು ರೂಟರ್ ಮ್ಯಾನೇಜರ್).
ಮೂಲ: opennet.ru