Kua kitea he whakaraeraetanga (CVE-2021-3997) i roto i te whaipainga systemd-tmpfiles e taea ai te whakahokinga kore mana. Ka taea te whakamahi i te raru ki te aukati i te ratonga i te wa e whawhai ana te punaha ma te hanga i te maha o nga raarangiroto i te raarangi /tmp. Kei te waatea te whakatika i tenei wa i te ahua papaki. Ko nga whakahoutanga o te kete ki te whakatika i te raru ka tukuna ki Ubuntu me SUSE, engari kaore ano kia waatea i Debian, RHEL me Fedora (kei te whakamatautauhia nga whakatika).
I te wa e hanga ana i nga mano o nga raarangi-roto, ko te mahi i nga mahi "systemd-tmpfiles --remove" ka pakaru na te ruha o te puranga. Ko te tikanga, ka mahia e te systemd-tmpfiles nga mahi mo te whakakore me te hanga whaiaronga i roto i te waea kotahi (“systemd-tmpfiles —create —remove —boot —exclude-prefix=/dev”), me te whakakore i te tuatahi katahi ko te hanga, i.e. Ko te rahunga i te wa mukunga ka kore e hanga nga konae tino nui kua tohua ki /usr/lib/tmpfiles.d/*.conf.
Ko tetahi ahuatanga whakaeke kino ake i runga i te Ubuntu 21.04 ka whakahuahia ano: na te mea ko te tukinga o te systemd-tmpfiles kaore i te hanga i te konae / run/lock/subsys, a ko te raarangi / run/lock ka tuhia e nga kaiwhakamahi katoa, ka taea e te kaiwhaiwhai te hanga he / run/lock/ directory subsys under its identifier, a, na roto i te hanganga o nga hononga tohu e whiti ana ki nga konae raka mai i nga tukanga punaha, ka whakarite i te tuhirua o nga konae punaha.
I tua atu, ka taea e matou te tuhi i te whakaputanga o nga putanga hou o nga kaupapa Flatpak, Samba, FreeRDP, Clamav me Node.js, kei reira nga whakaraeraetanga kua whakatikahia:
- I roto i nga whakaputanga whakatika o te kete taputapu mo te hanga i nga kohinga Flatpak whaiaro 1.10.6 me 1.12.3, e rua nga whakaraerae kua whakatikahia: Ko te whakaraerae tuatahi (CVE-2021-43860) ka taea, i te wa e tango ana i tetahi kete mai i tetahi putunga kore pono, na roto i te te raweke o metadata, ki te huna i te whakaaturanga o etahi whakaaetanga matatau i te wa o te whakaurunga. Ko te whakaraeraetanga tuarua (kaore he CVE) ka taea te whakahau "flatpak-builder —mirror-screenshots-url" ki te hanga i nga raarangi i roto i te waahanga punaha konae kei waho o te raarangi hanga i te wa e huihui ana te kete.
- Ko te whakahou Samba 4.13.16 ka whakakore i te whakaraeraetanga (CVE-2021-43566) ka taea e te kiritaki te raweke i nga hononga tohu i runga i nga waahanga SMB1, NFS ranei hei hanga i tetahi raarangi ki runga i te tūmau i waho o te rohe FS kaweake (ko te raru i puta mai i tetahi ahuatanga iwi. he uaua ki te whakamahi i roto i nga mahi, engari ka taea). Ko nga putanga i mua i te 4.13.16 ka pangia e te raru.
Kua whakaputaina ano he purongo mo tetahi atu whakaraeraetanga rite (CVE-2021-20316), e taea ai e te kiritaki motuhēhē te pānui, te huri rānei i ngā ihirangi o tētahi kōnae, whaiaronga metadata rānei i roto i te wāhi tūmau FS i waho o te wāhanga kaweake mā te raweke i ngā hononga tohu. Ka whakatauhia te raru ki te tuku 4.15.0, engari ka pa ki nga manga o mua. Engari, ko nga whakatikatika mo nga manga tawhito e kore e whakaputahia, na te mea kaore e whakaaetia e te hoahoanga tawhito o Samba VFS te whakatika i te raruraru na te herea o nga mahi metadata ki te konae ara (i roto i te Samba 4.15 te paparanga VFS i tino whakahouhia). Ko te mea ka iti ake te kino o te raru ko te tino uaua ki te whakahaere me te mana uru o te kaiwhakamahi me whakaae te panui, te tuhi ranei ki te konae, raarangi ranei.
- Ko te tukunga o te kaupapa FreeRDP 2.5, e tuku ana i te whakatinanatanga kore utu o te Kawa Papamahi Mamao (RDP), e whakatika ana i nga take haumaru e toru (kaore nga tohu tohu CVE i tohua) ka taea te arahi ki te puhake i te wa e whakamahi ana i te waahi hē, te tukatuka i te rehita i hangaia motuhake. tautuhinga me te tohu i tetahi ingoa taapiri kua he te whakahōputu. Ko nga huringa i roto i te putanga hou ko te tautoko mo te whare pukapuka OpenSSL 3.0, te whakatinanatanga o te tautuhinga TcpConnectTimeout, te pai ake o te hototahi ki te LibreSSL me te otinga ki nga raru me te papatopenga i roto i nga taiao-a-Wayland.
- Ko nga putanga hou o te mokete wheori kore utu ClamAV 0.103.5 me 0.104.2 ka whakakore i te whakaraeraetanga CVE-2022-20698, e hono ana ki te panui atatohu hē, ka taea e koe te hanga i tetahi tukinga mahi mena ka whakahiatohia te kete me te libjson- c te whare pukapuka me te whiringa CL_SCAN_GENERAL_COLLECT_METADATA kua whakahohea ki nga tautuhinga (clamscan --gen-json).
- Ko te papaaho Node.js e whakahou ana i te 16.13.2, 14.18.3, 17.3.1 me 12.22.9 e whakatika ana i nga whakaraeraetanga e wha: te takahi i te tiwhikete tiwhikete ina manatoko he hononga whatunga na te he o te huringa o SAN (Nga Ingoa Alternative Kaupapa) ki te whakatakotoranga aho (CVE- 2021 -44532); he he te whakahaere i te tatau o nga uara maha i roto i te kaupapa me nga mara kaituku, ka taea te whakamahi ki te karo i te manatokonga o nga mara kua whakahuahia i roto i nga tiwhikete (CVE-2021-44533); karohia nga here e pa ana ki te momo SAN URI i roto i nga tiwhikete (CVE-2021-44531); He iti rawa te whakamana whakaurunga i roto i te mahi console.table(), ka taea te whakamahi ki te tautapa aho kau ki nga taviri matihiko (CVE-2022-21824).
Source: opennet.ru