ProHoster > Blog > nûçeyên înternetê > Qelsiyên krîtîk ên di Netatalk de rê li ber darvekirina kodê ji dûr ve vedike

Qelsiyên krîtîk ên di Netatalk de rê li ber darvekirina kodê ji dûr ve vedike

Di Netatalk de, serverek ku protokolên torê yên AppleTalk û Protokola Pelêdana Apple (AFP) bicîh tîne, şeş qelsiyên ji dûr ve hatine bikar anîn hatine nas kirin ku dihêle hûn bi şandina pakêtên taybetî yên sêwirandî pêkanîna koda xwe bi mafên root organîze bikin. Netatalk ji hêla gelek hilberînerên amûrên hilanînê (NAS) ve tê bikar anîn da ku parvekirina pelan û gihîştina çaperan ji komputerên Apple peyda bike, mînakî, ew di cîhazên Western Digital de hate bikar anîn (pirsgirêk bi rakirina Netatalk ji firmware WD ve hate çareser kirin). Netatalk di gelek belavkirinan de jî tê de, di nav de OpenWRT (wekî OpenWrt 22.03 hate rakirin), Debian, Ubuntu, SUSE, Fedora û FreeBSD, lê ji hêla xwerû ve nayê bikar anîn. Pirsgirêk di serbestberdana Netatalk 3.1.13 de hatine çareser kirin.

Pirsgirêkên diyar kirin:

  • CVE-2022-0194 - Fonksiyona ad_addcomment() berî kopîkirina wê li tamponek sabît mezinahiya daneyên derveyî rast kontrol nake. Qelsî dihêle êrîşkerek dûr a nerastkirî ku koda xwe bi îmtiyazên root-ê bicîh bike.
  • CVE-2022-23121 - Rêvebirina xeletiya çewt di fonksiyona parse_entries() de ku dema parkirina navnîşên AppleDouble pêk tê. Qelsî dihêle êrîşkerek dûr a nerastkirî ku koda xwe bi îmtiyazên root-ê bicîh bike.
  • CVE-2022-23122 - Fonksiyona setfilparams () berî kopîkirina wê li tamponek sabît mezinahiya daneyên derveyî rast kontrol nake. Qelsî dihêle êrîşkerek dûr a nerastkirî ku koda xwe bi îmtiyazên root-ê bicîh bike.
  • CVE-2022-23124 Di rêbaza get_finderinfo() de nebûna pejirandina têketina rast, di encamê de ji deverek li derveyî tampona veqetandî tê xwendin. Qelsî dihêle êrîşkerek dûr a nerastkirî ku agahdariya ji bîranîna pêvajoyê derxe. Dema ku bi qelsiyên din re were hev kirin, xeletî dikare ji bo darvekirina kodê bi mafên root jî were bikar anîn.
  • CVE-2022-23125 Gava ku hêmana "len" di fonksiyona copyapplfile() de pars dike, berî kopîkirina daneyan li tamponek sabît vekolînek mezinbûnê heye. Qelsî dihêle êrîşkerek dûr a nerastkirî ku koda xwe bi îmtiyazên root-ê bicîh bike.
  • CVE-2022-23123 - Di rêbaza getdirparams() de nebûna pejirandina dervî, ku di encamê de ji deverek li derveyî tampona veqetandî tê xwendin. Qelsî dihêle êrîşkerek dûr a nerastkirî ku agahdariya ji bîranîna pêvajoyê derxe.

Source: opennet.ru

Add a comment