ಪ್ರೊಹೋಸ್ಟರ್ > Блог > ಇಂಟರ್ನೆಟ್ ಸುದ್ದಿ > ವಿಎಸ್ ಕೋಡ್, ಗ್ರಾಫನಾ, ಗ್ನೂ ಇಮ್ಯಾಕ್ಸ್ ಮತ್ತು ಅಪಾಚೆ ಫೈನರಾಕ್ಟ್‌ನಲ್ಲಿನ ದೋಷಗಳು

ವಿಎಸ್ ಕೋಡ್, ಗ್ರಾಫನಾ, ಗ್ನೂ ಇಮ್ಯಾಕ್ಸ್ ಮತ್ತು ಅಪಾಚೆ ಫೈನರಾಕ್ಟ್‌ನಲ್ಲಿನ ದೋಷಗಳು

ಇತ್ತೀಚೆಗೆ ಗುರುತಿಸಲಾದ ಹಲವಾರು ದುರ್ಬಲತೆಗಳು:

  • ವಿಷುಯಲ್ ಸ್ಟುಡಿಯೋ ಕೋಡ್ (VS ಕೋಡ್) ಸಂಪಾದಕದಲ್ಲಿ ನಿರ್ಣಾಯಕ ದುರ್ಬಲತೆಯನ್ನು (CVE-2022-41034) ಗುರುತಿಸಲಾಗಿದೆ, ಇದು ಆಕ್ರಮಣಕಾರರಿಂದ ಸಿದ್ಧಪಡಿಸಲಾದ ಲಿಂಕ್ ಅನ್ನು ಬಳಕೆದಾರರು ತೆರೆದಾಗ ಕೋಡ್ ಎಕ್ಸಿಕ್ಯೂಶನ್ ಅನ್ನು ಅನುಮತಿಸುತ್ತದೆ. VS ಕೋಡ್ ಚಾಲನೆಯಲ್ಲಿರುವ ಕಂಪ್ಯೂಟರ್‌ನಲ್ಲಿ ಮತ್ತು "ರಿಮೋಟ್ ಡೆವಲಪ್‌ಮೆಂಟ್" ಕಾರ್ಯವನ್ನು ಬಳಸಿಕೊಂಡು VS ಕೋಡ್‌ಗೆ ಸಂಪರ್ಕಗೊಂಡಿರುವ ಯಾವುದೇ ಇತರ ಕಂಪ್ಯೂಟರ್‌ಗಳಲ್ಲಿ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದು. GitHub Codespaces ಮತ್ತು github.dev ಸೇರಿದಂತೆ VS ಕೋಡ್‌ನ ವೆಬ್ ಆವೃತ್ತಿಯ ಬಳಕೆದಾರರಿಗೆ ಮತ್ತು ಅದರ ಆಧಾರದ ಮೇಲೆ ವೆಬ್ ಸಂಪಾದಕರಿಗೆ ಸಮಸ್ಯೆಯು ದೊಡ್ಡ ಬೆದರಿಕೆಯನ್ನು ಉಂಟುಮಾಡುತ್ತದೆ.

    ವೆಬ್ ಸರ್ವರ್‌ನಿಂದ ಡೌನ್‌ಲೋಡ್ ಮಾಡಲಾದ ವೆಬ್ ಸರ್ವರ್‌ನಿಂದ ಡೌನ್‌ಲೋಡ್ ಮಾಡಲಾದ ಜಿಪಿಟರ್ ನೋಟ್‌ಬುಕ್ ಸ್ವರೂಪದಲ್ಲಿ ಸಂಪಾದಕದಲ್ಲಿ ವಿಶೇಷವಾಗಿ ವಿನ್ಯಾಸಗೊಳಿಸಿದ ಡಾಕ್ಯುಮೆಂಟ್‌ಗಳನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುವಾಗ, ಟರ್ಮಿನಲ್‌ನೊಂದಿಗೆ ವಿಂಡೋವನ್ನು ತೆರೆಯಲು ಮತ್ತು ಅದರಲ್ಲಿ ಅನಿಯಂತ್ರಿತ ಶೆಲ್ ಆಜ್ಞೆಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಸೇವಾ ಲಿಂಕ್‌ಗಳನ್ನು “ಕಮಾಂಡ್:” ಅನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುವ ಸಾಮರ್ಥ್ಯದಿಂದ ದುರ್ಬಲತೆ ಉಂಟಾಗುತ್ತದೆ. ಆಕ್ರಮಣಕಾರರು (ಹೆಚ್ಚುವರಿ ದೃಢೀಕರಣಗಳಿಲ್ಲದೆಯೇ " .ipynb" ವಿಸ್ತರಣೆಯೊಂದಿಗೆ ಬಾಹ್ಯ ಫೈಲ್‌ಗಳನ್ನು "isTrusted" ಮೋಡ್‌ನಲ್ಲಿ ತೆರೆಯಲಾಗುತ್ತದೆ, ಇದು "ಕಮಾಂಡ್:" ನ ಪ್ರಕ್ರಿಯೆಗೆ ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ).

  • GNU Emacs ಪಠ್ಯ ಸಂಪಾದಕದಲ್ಲಿ ದುರ್ಬಲತೆಯನ್ನು (CVE-2022-45939) ಗುರುತಿಸಲಾಗಿದೆ, ಇದು ctags ಟೂಲ್‌ಕಿಟ್ ಬಳಸಿ ಸಂಸ್ಕರಿಸಿದ ಹೆಸರಿನಲ್ಲಿ ವಿಶೇಷ ಅಕ್ಷರಗಳ ಪರ್ಯಾಯದ ಮೂಲಕ ಕೋಡ್‌ನೊಂದಿಗೆ ಫೈಲ್ ಅನ್ನು ತೆರೆಯುವಾಗ ಆಜ್ಞೆಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಅನುಮತಿಸುತ್ತದೆ.
  • ಮುಕ್ತ ಡೇಟಾ ದೃಶ್ಯೀಕರಣ ಪ್ಲಾಟ್‌ಫಾರ್ಮ್ ಗ್ರಾಫಾನಾದಲ್ಲಿ ದುರ್ಬಲತೆಯನ್ನು (CVE-2022-31097) ಗುರುತಿಸಲಾಗಿದೆ, ಇದು ಗ್ರಾಫಾನಾ ಎಚ್ಚರಿಕೆಯ ವ್ಯವಸ್ಥೆಯ ಮೂಲಕ ಅಧಿಸೂಚನೆಯನ್ನು ಪ್ರದರ್ಶಿಸುವಾಗ ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಅನುಮತಿಸುತ್ತದೆ. ಸಂಪಾದಕ ಹಕ್ಕುಗಳೊಂದಿಗೆ ಆಕ್ರಮಣಕಾರರು ವಿಶೇಷವಾಗಿ ವಿನ್ಯಾಸಗೊಳಿಸಿದ ಲಿಂಕ್ ಅನ್ನು ಸಿದ್ಧಪಡಿಸಬಹುದು ಮತ್ತು ನಿರ್ವಾಹಕರು ಈ ಲಿಂಕ್ ಅನ್ನು ಕ್ಲಿಕ್ ಮಾಡಿದರೆ ನಿರ್ವಾಹಕರ ಹಕ್ಕುಗಳೊಂದಿಗೆ ಗ್ರಾಫನಾ ಇಂಟರ್ಫೇಸ್ಗೆ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಬಹುದು. ಗ್ರಾಫನಾ ಬಿಡುಗಡೆಗಳು 9.2.7, 9.3.0, 9.0.3, 8.5.9, 8.4.10 ಮತ್ತು 8.3.10 ರಲ್ಲಿ ದುರ್ಬಲತೆಯನ್ನು ತಿಳಿಸಲಾಗಿದೆ.
  • ಪ್ರಮೀತಿಯಸ್‌ಗಾಗಿ ಮೆಟ್ರಿಕ್ಸ್ ರಫ್ತು ಮಾಡ್ಯೂಲ್‌ಗಳನ್ನು ರಚಿಸಲು ಬಳಸಲಾಗುವ ರಫ್ತುದಾರ-ಟೂಲ್‌ಕಿಟ್ ಲೈಬ್ರರಿಯಲ್ಲಿ ದುರ್ಬಲತೆ (CVE-2022-46146). ಸಮಸ್ಯೆಯು ಮೂಲಭೂತ ದೃಢೀಕರಣವನ್ನು ಬೈಪಾಸ್ ಮಾಡಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ.
  • ಅಪಾಚೆ ಫೈನರಾಕ್ಟ್ ಹಣಕಾಸು ಸೇವೆಗಳನ್ನು ರಚಿಸಲು ವೇದಿಕೆಯಲ್ಲಿ ದುರ್ಬಲತೆ (CVE-2022-44635), ಇದು ರಿಮೋಟ್ ಕೋಡ್ ಎಕ್ಸಿಕ್ಯೂಶನ್ ಅನ್ನು ಸಾಧಿಸಲು ಅನಧಿಕೃತ ಬಳಕೆದಾರರನ್ನು ಅನುಮತಿಸುತ್ತದೆ. ಫೈಲ್‌ಗಳನ್ನು ಲೋಡ್ ಮಾಡಲು ಘಟಕದಿಂದ ಸಂಸ್ಕರಿಸಿದ ಮಾರ್ಗಗಳಲ್ಲಿ ".." ಅಕ್ಷರಗಳ ಸರಿಯಾದ ತಪ್ಪಿಸಿಕೊಳ್ಳುವಿಕೆಯ ಕೊರತೆಯಿಂದ ಸಮಸ್ಯೆ ಉಂಟಾಗುತ್ತದೆ. ಅಪಾಚೆ ಫೈನರಾಕ್ಟ್ 1.7.1 ಮತ್ತು 1.8.1 ಬಿಡುಗಡೆಗಳಲ್ಲಿ ದುರ್ಬಲತೆಯನ್ನು ನಿವಾರಿಸಲಾಗಿದೆ.
  • ಅಪಾಚೆ ಟೇಪ್‌ಸ್ಟ್ರಿ ಜಾವಾ ಫ್ರೇಮ್‌ವರ್ಕ್‌ನಲ್ಲಿನ ದುರ್ಬಲತೆ (CVE-2022-46366) ಇದು ವಿಶೇಷವಾಗಿ ಫಾರ್ಮ್ಯಾಟ್ ಮಾಡಲಾದ ಡೇಟಾವನ್ನು ಡೀರಿಯಲೈಸ್ ಮಾಡಿದಾಗ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಅನುಮತಿಸುತ್ತದೆ. ಸಮಸ್ಯೆಯು Apache Tapestry 3.x ನ ಹಳೆಯ ಶಾಖೆಯಲ್ಲಿ ಮಾತ್ರ ಕಾಣಿಸಿಕೊಳ್ಳುತ್ತದೆ, ಅದು ಇನ್ನು ಮುಂದೆ ಬೆಂಬಲಿಸುವುದಿಲ್ಲ.
  • ಹೈವ್ (CVE-2022-41131), ಪಿನೋಟ್ (CVE-2022-38649), ಪಿಗ್ (CVE-2022-40189) ಮತ್ತು ಸ್ಪಾರ್ಕ್ (CVE-2022-40954) ಗೆ ಅಪಾಚೆ ಏರ್‌ಫ್ಲೋ ಪೂರೈಕೆದಾರರಲ್ಲಿನ ದೋಷಗಳು ರಿಮೋಟ್ ಕೋಡ್ ಮೂಲಕ ಲೋಡ್ ಮಾಡಲು ಕಾರಣವಾಗುತ್ತದೆ. ಅನಿಯಂತ್ರಿತ ಫೈಲ್‌ಗಳು ಅಥವಾ DAG ಫೈಲ್‌ಗಳಿಗೆ ಬರವಣಿಗೆ ಪ್ರವೇಶವನ್ನು ಹೊಂದಿರದೆ ಕೆಲಸ ಕಾರ್ಯಗತಗೊಳಿಸುವಿಕೆಯ ಸಂದರ್ಭದಲ್ಲಿ ಕಮಾಂಡ್ ಪರ್ಯಾಯ.

ಮೂಲ: opennet.ru

ಕಾಮೆಂಟ್ ಅನ್ನು ಸೇರಿಸಿ