Navoaka ny famoahana fanitsiana ny tranomboky libXpm 3.5.15, novolavolain'ny tetikasa X.Org ary ampiasaina amin'ny fanodinana rakitra amin'ny endrika XPM. Ny kinova vaovao dia mamaha ny vulnerability telo, ny roa amin'izy ireo (CVE-2022-46285, CVE-2022-44617) dia mitarika amin'ny loop rehefa manamboatra rakitra XPM natao manokana. Ny vulnerability fahatelo (CVE-2022-4883) dia mamela ny baiko tsy misy dikany hotanterahina rehefa manatanteraka fampiharana mampiasa libXpm. Rehefa mampandeha ireo dingana manan-danja mifandraika amin'ny libXpm, ohatra, ny programa miaraka amin'ny sainam-pototry ny suid, ny vulnerability dia ahafahana mampitombo ny tombontsoan'ny olona iray.
Ny vulnerability dia vokatry ny fomba fiasan'ny libXpm miaraka amin'ireo rakitra XPM voaporitra - rehefa manamboatra rakitra XPM.Z na XPM.gz, ny tranomboky dia manomboka ny fitaovana tsy voatanisa ivelany (uncompress na gunzip) amin'ny alΓ lan'ny execlp() antso, ny lalana izay kajy mifototra amin'izany. amin'ny fari-piainana PATH. Ny fanafihana dia miainga amin'ny fametrahana ny lahatahiry azon'ny mpampiasa idirana, izay hita ao amin'ny lisitry ny PATH, ny rakitra azo tanterahana tsy azo fehezina na gunzip, izay hotanterahina raha atomboka ny fampiharana mampiasa libXpm.
Ny vulnerability dia raikitra tamin'ny fanoloana ny antso execlp amin'ny execl mampiasa lalana tanteraka mankany amin'ny fitaovana. Fanampin'izany, ny safidy fivoriambe "--disable-open-zfile" dia nampiana, izay ahafahanao manafoana ny fanodinana ireo rakitra voatsindry ary miantso ny fitaovana ivelany ho an'ny famoahana.
Source: opennet.ru