Perl၊ ownCloud၊ GStreamer နှင့် Zephyr RTOS ရှိ အားနည်းချက်များ

မကြာသေးမီက တွေ့ရှိခဲ့သော အားနည်းချက်အချို့-

  • Perl 5.38.1 သည် "utf2023::perl" ဖြင့် အစပြုသော အမည်ဖြင့် အစပြုသော အမည်ဖြင့် အစပြုသော အမည်တစ်ခုဖြင့် utf47038::perl ကို မှားယွင်းစွာ ပြန်လည်သတ်မှတ်ထားသော အတွင်းပိုင်း ယူနီကုဒ် ပိုင်ဆိုင်မှုကို မှားယွင်းစွာ စုစည်းထားသည့် တစ်ခုတည်းသော byte ကို ဘောင်အတွင်းမှ ရေးမှတ်ထားသည့် Perl 8 သည် အားနည်းချက်တစ်ခုအား ပြင်ဆင်ပေးပါသည်။ ပြဿနာသည် Perl 5.30 တွင် စတင်ပါသည်။

    ထို့အပြင်၊ Perl 5.38.1 သည် ပလက်ဖောင်းအလိုက် လုပ်ဆောင်ချက်တစ်ခုကို ဖယ်ရှားလိုက်သည် Windows အားနည်းချက်တစ်ခု (CVE-2023-47039) သည် cmd.exe ဖိုင်ကို လက်ရှိ directory တွင် ထားရှိနိုင်ပါက script များကို run လုပ်သည့်အခါ arbitrary code execution လုပ်ခွင့်ပြုသည် (executable ဖိုင်များကို ရှာဖွေသည့်အခါ path cleanup မရှိခြင်းကြောင့် Perl သည် လက်ရှိ directory တွင် cmd.exe ကို ဦးစွာ run ရန်ကြိုးစားသည်)။ ဥပမာအားဖြင့်၊ administrator သည် ထို directory မှ Perl script ကို run လုပ်ပါက attacker သည် custom cmd.exe ကို C:\ProgramData directory တွင် ထားရှိနိုင်ပြီး ၎င်းတို့၏ privileges များကို escalate လုပ်နိုင်သည်။

  • ၂၀၁၆ ခုနှစ်တွင် Nextcloud ပရောဂျက်ကို fork လုပ်ခဲ့သော ownCloud cloud platform တွင် အားနည်းချက် (CVE-2023-49103) တစ်ခုကို ရှာဖွေတွေ့ရှိခဲ့ပြီး ၎င်းသည် graphapi application ကို ထိခိုက်စေပြီး environment variable များ၏ content များကို ဆုံးဖြတ်နိုင်စေပါသည်။ ၎င်းတွင် administrator password၊ license key နှင့် mail သို့ ချိတ်ဆက်ရန် credentials များ ပါဝင်နိုင်သည်။ ဆာဗာဒီပြဿနာဟာ graphapi မှာ third-party library တစ်ခုကို အသုံးပြုခြင်းကြောင့် ဖြစ်ပေါ်လာတာပါ။ အဲဒီ library က GetPhpInfo.php handler ကို ပံ့ပိုးပေးပြီး phpinfo() function ကို ခေါ်ပါတယ်။ အဲဒီ handler ရဲ့ output မှာ environment variable တွေ ပါဝင်ပါတယ်။
  • GStreamer မာလ်တီမီဒီယာဘောင်တွင် အားနည်းချက်နှစ်ခုကို ဖော်ထုတ်ထားသည်- CVE-2023-44446၊ MXF ဖိုင်ခွဲခြမ်းစိတ်ဖြာမှုကုဒ်ရှိ အခမဲ့အသုံးပြုမှုနောက်ပိုင်း အားနည်းချက်တစ်ခု၊ နှင့် CVE-2023-44429၊ AV1 ဖော်မတ်ခွဲခြမ်းစိတ်ဖြာမှုကုဒ်တွင် ကြားခံပြည့်လျှံမှု။ ပထမပြဿနာမှာ ၎င်းကို လည်ပတ်မှုမလုပ်ဆောင်မီ အရာဝတ္တုတစ်ခုအား အတည်ပြုချက်မရှိခြင်းကြောင့်ဖြစ်ပြီး ဒုတိယပြဿနာမှာ ၎င်းအား ပုံသေကြားခံတစ်ခုသို့မကူးယူမီ ဒေတာအရွယ်အစား၏အတည်ပြုချက်မရှိခြင်းကြောင့်ဖြစ်သည်။ အထူးပြုလုပ်ထားသော MXF ဖိုင်များနှင့် AV1 မာလ်တီမီဒီယာဒေတာကို လုပ်ဆောင်ရန် ကြိုးပမ်းသည့်အခါ ဤအားနည်းချက်များသည် အန္တရာယ်ရှိသောကုဒ်ကို အကောင်အထည်ဖော်ရန် ဦးတည်သွားနိုင်သည်။ တိုက်ခိုက်ခံရသော အက်ပလီကေးရှင်း၏ အကောင်အထည်ဖော်မှုအပေါ် မူတည်ကြောင်း Attack vector များကို မှတ်သားထားသည်။ ဤပြဿနာများကို 8.8 ခုအနက်မှ 10 အဆင့်သတ်မှတ်ထားသည်။ အားနည်းချက်များကို GStreamer 1.22.7 တွင် ပြင်ဆင်ထားသည်။
  • Zephyr RTOS real-time operating system တွင် အားနည်းချက်နှစ်ဆယ့်ငါးခုကို တွေ့ရှိခဲ့ပြီး အများစုမှာ attacker code execution များဆီသို့ ဦးတည်သွားနိုင်သည်။ အားနည်းချက်များသည် WiFi shell၊ Bluetooth stack၊ IPM ဒရိုက်ဘာ၊ USB stack၊ IEEE 25 driver၊ Mgmt စနစ်ခွဲ၊ ဖိုင်စနစ်၊ eS-WiFi driver နှင့် CANbus စနစ်ခွဲများရှိ buffer overflows ကြောင့်ဖြစ်ရသည်။ အားနည်းချက်အများစုကို Zephyr 802.15.4 တွင် ပြင်ဆင်ပြီးဖြစ်သော်လည်း ပြဿနာတစ်ခု (CVE-3.5.0-2023) သည် ဖာထေးမှုမပြုလုပ်ရသေးပါ (Patch တစ်ခုမရရှိနိုင်မချင်း ဤအားနည်းချက်အသေးစိတ်ကို ထုတ်ပြန်ခြင်းမပြုပါ)။

source: opennet.ru

DDoS ကာကွယ်ရေး၊ VPS VDS ဆာဗာများပါသည့် ဆိုက်များအတွက် ယုံကြည်စိတ်ချရသော hosting ကို ဝယ်ယူပါ။ 🔥 DDoS ကာကွယ်မှု၊ VPS VDS ဆာဗာများပါရှိသော ယုံကြည်စိတ်ချရသော ဝဘ်ဆိုက် hosting ကို ဝယ်ယူပါ | ProHoster