Саяхан илрүүлсэн хэд хэдэн эмзэг байдал:
- Perl 5.38.1-ийн засвар үйлчилгээний хувилбар нь нэрээр нь буруу дахин тодорхойлсон дотоод Юникод шинж чанартай эмхэтгэсэн тогтмол илэрхийллийг боловсруулахад хуваарилагдсан буфер доторх нэг байт хязгаараас гадуур бичигдэж болзошгүй эмзэг байдлыг (CVE-2023-47038) шийдвэрлэдэг. "utf8::" perl-тэй. Perl 5.30 салбараас хойш асуудал гарч ирдэг.
Үүнээс гадна, Perl 5.38.1 нь платформд тохирсон хувилбарыг арилгасан. Windows Хэрэв cmd.exe файлыг одоогийн санд байрлуулж болох бол (гүйцэтгүүлж болох файлуудыг хайх үед зам цэвэрлэгээгүйгээс болж Perl эхлээд одоогийн санд cmd.exe файлыг ажиллуулахыг оролддог) скриптүүдийг ажиллуулах үед эмзэг байдал (CVE-2023-47039) нь дурын код гүйцэтгэх боломжийг олгодог. Жишээлбэл, халдагч C:\ProgramData санд өөрчлөн cmd.exe файлыг байрлуулж, администратор тухайн санд Perl скрипт ажиллуулбал түүний эрхийг нэмэгдүүлж болно.
- 2016 онд Nextcloud төслийг салгасан ownCloud үүлэн платформ дээр эмзэг байдал (CVE-2023-49103) илэрсэн бөгөөд энэ нь graphapi програмд нөлөөлж, орчны хувьсагчдын агуулгыг тодорхойлох боломжийг олгосон бөгөөд үүнд администраторын нууц үг, лицензийн түлхүүр, шуудантай холбогдох итгэмжлэлүүд агуулагдаж байж болзошгүй. серверЭнэ асуудал нь graphapi дээр гуравдагч талын номын сан ашигласнаас үүдэлтэй бөгөөд бусад зүйлсийн дотор phpinfo() функцийг дууддаг GetPhpInfo.php боловсруулагчийг хангадаг бөгөөд түүний гаралт нь орчны хувьсагчдыг агуулдаг.
- GStreamer мультимедиа фреймворк дээр хоёр эмзэг байдал илэрсэн: CVE-2023-44446 - MXF файлын задлан шинжлэлийн кодыг сулласны дараа санах ойд хандах (Use-After-Free); CVE-2023-44429 - AV1 форматын задлан шинжлэх код дахь буфер халилт. Эхний асуудал нь объект дээр үйлдлүүд хийхээс өмнө шалгахгүй байх, хоёр дахь нь үүнийг тогтмол буферт хуулахаас өмнө өгөгдлийн хэмжээг шалгаагүйгээс үүсдэг. Сул талууд нь тусгайлан боловсруулсан MXF файлууд болон AV1 медиаг боловсруулах гэж оролдох үед халдагчийн кодыг гүйцэтгэх боломжийг олгодог. Довтолгооны векторууд нь халдлагад өртсөн програмын хэрэгжилтээс хамаардаг болохыг тэмдэглэв. Асуудлыг 8.8-аас 10-аар хүндийн зэрэглэлээр өгсөн. GStreamer 1.22.7 хувилбарт эмзэг байдлыг шийдвэрлэсэн.
- Zephyr RTOS бодит цагийн үйлдлийн системд 25 эмзэг байдлыг илрүүлсэн бөгөөд тэдгээрийн ихэнх нь халдагчийн кодыг гүйцэтгэхэд хүргэж болзошгүй юм. Энэ эмзэг байдал нь WiFi бүрхүүл, Bluetooth стек, IPM драйвер, USB стек, IEEE 802.15.4 драйвер, Mgmt дэд систем, файлын систем, eS-WiFi драйвер, CANbus дэд систем дэх буферийн халилтаас үүдэлтэй. Ихэнх эмзэг байдлыг Zephyr 3.5.0 хувилбар дээр шийдсэн боловч нэг асуудал (CVE-2023-4261) шийдэгдээгүй хэвээр байна (засвар гарах хүртэл энэ эмзэг байдлын талаарх дэлгэрэнгүй мэдээллийг нийтлэхгүй).
Эх сурвалж: opennet.ru
