ಪ್ರೊಹೋಸ್ಟರ್ > Блог > ಇಂಟರ್ನೆಟ್ ಸುದ್ದಿ > X.Org ಲೈಬ್ರರಿಗಳಲ್ಲಿನ ದುರ್ಬಲತೆಗಳು, ಅವುಗಳಲ್ಲಿ ಎರಡು 1988 ರಿಂದ ಅಸ್ತಿತ್ವದಲ್ಲಿವೆ

X.Org ಲೈಬ್ರರಿಗಳಲ್ಲಿನ ದುರ್ಬಲತೆಗಳು, ಅವುಗಳಲ್ಲಿ ಎರಡು 1988 ರಿಂದ ಅಸ್ತಿತ್ವದಲ್ಲಿವೆ

X.Org ಯೋಜನೆಯಿಂದ ಅಭಿವೃದ್ಧಿಪಡಿಸಲಾದ libX11 ಮತ್ತು libXpm ಲೈಬ್ರರಿಗಳಲ್ಲಿನ ಐದು ದುರ್ಬಲತೆಗಳ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಬಿಡುಗಡೆ ಮಾಡಲಾಗಿದೆ. ಸಮಸ್ಯೆಗಳನ್ನು libXpm 3.5.17 ಮತ್ತು libX11 1.8.7 ಬಿಡುಗಡೆಗಳಲ್ಲಿ ಪರಿಹರಿಸಲಾಗಿದೆ. libx11 ಲೈಬ್ರರಿಯಲ್ಲಿ ಮೂರು ದೋಷಗಳನ್ನು ಗುರುತಿಸಲಾಗಿದೆ, ಇದು X11 ಪ್ರೋಟೋಕಾಲ್‌ನ ಕ್ಲೈಂಟ್ ಅನುಷ್ಠಾನದೊಂದಿಗೆ ಕಾರ್ಯಗಳನ್ನು ನೀಡುತ್ತದೆ:

  • CVE-2023-43785 - ಹಿಂದೆ ಕಳುಹಿಸಿದ XkbGetMap ವಿನಂತಿಗೆ ಹೊಂದಿಕೆಯಾಗದ ಹಲವಾರು ಅಕ್ಷರಗಳೊಂದಿಗೆ X ಸರ್ವರ್‌ನಿಂದ ಪ್ರತಿಕ್ರಿಯೆಯನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುವಾಗ libX11 ಕೋಡ್‌ನಲ್ಲಿ ಬಫರ್ ಓವರ್‌ಫ್ಲೋ ಸಂಭವಿಸುತ್ತದೆ. 11 ರಿಂದ ಅಸ್ತಿತ್ವದಲ್ಲಿರುವ X6.1R1996 ನಲ್ಲಿನ ದೋಷದಿಂದ ದುರ್ಬಲತೆ ಉಂಟಾಗುತ್ತದೆ. libx11 ಅನ್ನು ಬಳಸುವ ಅಪ್ಲಿಕೇಶನ್ ದುರುದ್ದೇಶಪೂರಿತ X ಸರ್ವರ್ ಅಥವಾ ಆಕ್ರಮಣಕಾರ-ನಿಯಂತ್ರಿತ ಮಧ್ಯಂತರ ಪ್ರಾಕ್ಸಿಗೆ ಸಂಪರ್ಕಿಸಿದಾಗ ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳಬಹುದು.
  • CVE-2023-43786 - LibX11 ನಲ್ಲಿ PutSubImage() ಫಂಕ್ಷನ್‌ನಲ್ಲಿನ ಅನಂತ ಪುನರಾವರ್ತನೆಯಿಂದಾಗಿ ಸ್ಟ್ಯಾಕ್ ನಿಶ್ಯಕ್ತಿ, ಇದು XPM ಫಾರ್ಮ್ಯಾಟ್‌ನಲ್ಲಿ ವಿಶೇಷವಾಗಿ ಫಾರ್ಮ್ಯಾಟ್ ಮಾಡಲಾದ ಡೇಟಾವನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುವಾಗ ಸಂಭವಿಸುತ್ತದೆ. ಫೆಬ್ರವರಿ 11 ರಲ್ಲಿ X2R1988 ಬಿಡುಗಡೆಯಾದಾಗಿನಿಂದ ದುರ್ಬಲತೆ ಅಸ್ತಿತ್ವದಲ್ಲಿದೆ.
  • CVE-2023-43787 libX11 ನಲ್ಲಿನ XCreateImage() ಕಾರ್ಯದಲ್ಲಿ ಪೂರ್ಣಾಂಕದ ಓವರ್‌ಫ್ಲೋ ಡೇಟಾದ ನೈಜ ಗಾತ್ರಕ್ಕೆ ಹೊಂದಿಕೆಯಾಗದ ಗಾತ್ರವನ್ನು ಲೆಕ್ಕಾಚಾರ ಮಾಡುವ ದೋಷದಿಂದಾಗಿ ರಾಶಿ ಉಕ್ಕಿ ಹರಿಯುತ್ತದೆ. ಸಮಸ್ಯಾತ್ಮಕ XCreateImage() ಕಾರ್ಯವನ್ನು XpmReadFileToPixmap() ಫಂಕ್ಷನ್‌ನಿಂದ ಕರೆಯಲಾಗುತ್ತದೆ, ಇದು XPM ಫಾರ್ಮ್ಯಾಟ್‌ನಲ್ಲಿ ವಿಶೇಷವಾಗಿ ವಿನ್ಯಾಸಗೊಳಿಸಿದ ಫೈಲ್ ಅನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುವಾಗ ದುರ್ಬಲತೆಯ ದುರ್ಬಳಕೆಯನ್ನು ಅನುಮತಿಸುತ್ತದೆ. X11R2 (1988) ರಿಂದಲೂ ದುರ್ಬಲತೆ ಅಸ್ತಿತ್ವದಲ್ಲಿದೆ.

ಹೆಚ್ಚುವರಿಯಾಗಿ, libXpm ಲೈಬ್ರರಿಯಲ್ಲಿ (CVE-2023-43788 ಮತ್ತು CVE-2023-43789) ಎರಡು ದುರ್ಬಲತೆಗಳನ್ನು ಬಹಿರಂಗಪಡಿಸಲಾಗಿದೆ, ಇದು ನಿಯೋಜಿತ ಮೆಮೊರಿಯ ಮಿತಿಯ ಹೊರಗಿನ ಪ್ರದೇಶಗಳಿಂದ ಓದುವ ಸಾಮರ್ಥ್ಯದಿಂದ ಉಂಟಾಗುತ್ತದೆ. ಮೆಮೊರಿಯಲ್ಲಿನ ಬಫರ್‌ನಿಂದ ಕಾಮೆಂಟ್ ಅನ್ನು ಲೋಡ್ ಮಾಡುವಾಗ ಮತ್ತು ತಪ್ಪಾದ ಬಣ್ಣದ ನಕ್ಷೆಯೊಂದಿಗೆ XPM ಫೈಲ್ ಅನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುವಾಗ ಸಮಸ್ಯೆಗಳು ಸಂಭವಿಸುತ್ತವೆ. ಎರಡೂ ದುರ್ಬಲತೆಗಳು 1998 ರ ಹಿಂದಿನದು ಮತ್ತು ಮೆಮೊರಿ ದೋಷ ಪತ್ತೆ ಮತ್ತು ಅಸ್ಪಷ್ಟ ಪರೀಕ್ಷಾ ಪರಿಕರಗಳ ಬಳಕೆಯ ಮೂಲಕ ಅಡ್ರೆಸ್ ಸ್ಯಾನಿಟೈಜರ್ ಮತ್ತು ಲಿಬ್‌ಫಜರ್‌ಗಳ ಮೂಲಕ ಕಂಡುಬಂದಿವೆ.

X.org ಐತಿಹಾಸಿಕ ಭದ್ರತಾ ಸಮಸ್ಯೆಗಳನ್ನು ಹೊಂದಿದೆ, ಉದಾಹರಣೆಗೆ ಹತ್ತು ವರ್ಷಗಳ ಹಿಂದೆ, 30 ನೇ ಚೋಸ್ ಕಮ್ಯುನಿಕೇಶನ್ ಕಾಂಗ್ರೆಸ್ (CCC) ನಲ್ಲಿ, ಭದ್ರತಾ ಸಂಶೋಧಕರಾದ ಇಲ್ಜಾ ವ್ಯಾನ್ ಸ್ಪ್ರುಂಡೆಲ್ ಅವರ ಪ್ರಸ್ತುತಿಯು ಪ್ರಸ್ತುತಿಯ ಅರ್ಧದಷ್ಟು ಪ್ರಸ್ತುತಿಯನ್ನು X.Org ಸರ್ವರ್‌ನಲ್ಲಿನ ಸಮಸ್ಯೆಗಳಿಗೆ ಮೀಸಲಿಟ್ಟಿದೆ ಮತ್ತು ಉಳಿದ ಅರ್ಧವನ್ನು X11 ಕ್ಲೈಂಟ್ ಲೈಬ್ರರಿಗಳ ಅರ್ಧದಷ್ಟು ಭದ್ರತೆ. ವಿವಿಧ X2013 ಕ್ಲೈಂಟ್ ಲೈಬ್ರರಿಗಳು ಮತ್ತು ಮೆಸಾದ DRI ಘಟಕಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುವ 30 ದುರ್ಬಲತೆಗಳನ್ನು 11 ರಲ್ಲಿ ಗುರುತಿಸಿದ ಇಲ್ಯಾ ಅವರ ವರದಿಯು ಅಂತಹ ಭಾವನಾತ್ಮಕ ಹೇಳಿಕೆಗಳನ್ನು ಒಳಗೊಂಡಿದೆ “GLX ಒಂದು ಭಯಾನಕ ಡಿಮೋಟಿವೇಟರ್! 80 ಶುದ್ಧ ಭಯಾನಕ ಸಾಲುಗಳು! ಮತ್ತು "ಕಳೆದ ಎರಡು ತಿಂಗಳುಗಳಲ್ಲಿ ನಾನು ಅದರಲ್ಲಿ 000 ದೋಷಗಳನ್ನು ಕಂಡುಕೊಂಡಿದ್ದೇನೆ ಮತ್ತು ನಾನು ಅದನ್ನು ಪರಿಶೀಲಿಸುವುದನ್ನು ಇನ್ನೂ ಪೂರ್ಣಗೊಳಿಸಿಲ್ಲ."

ಮೂಲ: opennet.ru

ಕಾಮೆಂಟ್ ಅನ್ನು ಸೇರಿಸಿ