မကြာသေးမီက သတ်မှတ်ထားသော အားနည်းချက်များစွာ-
- တိုက်ခိုက်သူမှပြင်ဆင်ထားသောလင့်ခ်ကိုအသုံးပြုသူတစ်ဦးဖွင့်သောအခါတွင်အသုံးပြုသူမှပြင်ဆင်ထားသောလင့်ခ်ကိုဖွင့်သောအခါတွင်အရေးကြီးသောအားနည်းချက် (CVE-2022-41034) ကို Visual Studio Code (VS Code) တွင်တွေ့ရှိခဲ့သည်။ ကုဒ်ကို VS Code စက်တွင်ဖြစ်စေ သို့မဟုတ် အဝေးထိန်း ဖွံ့ဖြိုးတိုးတက်မှုအင်္ဂါရပ်ကို အသုံးပြု၍ VS Code နှင့် ချိတ်ဆက်ထားသော အခြားမည်သည့်စက်တွင်မဆို လုပ်ဆောင်နိုင်သည်။ ပြဿနာသည် GitHub Codespaces နှင့် github.dev အပါအဝင် ၎င်းကိုအခြေခံ၍ VS Code နှင့် web တည်းဖြတ်သူများ၏ ဝဘ်ဗားရှင်းအသုံးပြုသူများအတွက် အကြီးမားဆုံးအန္တရာယ်ဖြစ်လာသည်။
အားနည်းချက်မှာ terminal တစ်ခုနှင့် window တစ်ခုဖွင့်ရန် "command:" ဝန်ဆောင်မှုလင့်ခ်များကို လုပ်ဆောင်နိုင်ခြင်းကြောင့်ဖြစ်ပြီး၊ တည်းဖြတ်သူရှိ ဝဘ်ဆာဗာမှ ဒေါင်းလုဒ်လုပ်ထားသော ဝဘ်ဆာဗာမှ ဒေါင်းလုဒ်လုပ်ထားသော မထင်မရှား shell commands များကို လုပ်ဆောင်သည့်အခါ၊ ၎င်းတွင် မထင်သလို shell command များကို လုပ်ဆောင်နိုင်ခြင်းကြောင့် အားနည်းချက်ဖြစ်လာသည်။ တိုက်ခိုက်သူမှ (နောက်ထပ်အတည်ပြုချက်များမပါဘဲ တိုးချဲ့မှု “.ipynb” ပါရှိသော ပြင်ပဖိုင်များကို "isTrusted" မုဒ်တွင် ဖွင့်ထားပြီး၊ "command:" ကို လုပ်ဆောင်နိုင်သည်)။
- ctags ကိရိယာတန်ဆာပလာကို အသုံးပြု၍ လုပ်ဆောင်ခဲ့သော အမည်တွင် အထူးဇာတ်ကောင်များ အစားထိုးခြင်းဖြင့် ဖိုင်တစ်ခုဖွင့်သည့်အခါ ကုဒ်ဖြင့် ညွှန်ကြားချက်များကို စုစည်းခွင့်ပြုသည့် GNU Emacs စာသားတည်းဖြတ်သူ (CVE-2022-45939) တွင် အားနည်းချက်တစ်ခုကို ဖော်ထုတ်ခဲ့သည်။
- Grafana သတိပေးချက်စနစ်မှတစ်ဆင့် အကြောင်းကြားချက်တစ်ခုပြသသည့်အခါ JavaScript ကုဒ်ကို လုပ်ဆောင်နိုင်စေမည့် Grafana open source data visualization platform တွင် အားနည်းချက်တစ်ခု (CVE-2022-31097) ကို တွေ့ရှိခဲ့သည်။ တည်းဖြတ်ပိုင်ခွင့်ရှိသော တိုက်ခိုက်သူသည် ဤလင့်ခ်ကို နှိပ်ပါက အထူးဒီဇိုင်းရေးဆွဲထားသော လင့်ခ်ကို ပြင်ဆင်နိုင်ပြီး စီမံခန့်ခွဲသူအခွင့်အရေးများနှင့်အတူ Grafana အင်တာဖေ့စ်သို့ ဝင်ရောက်နိုင်မည်ဖြစ်သည်။ Grafana 9.2.7၊ 9.3.0၊ 9.0.3၊ 8.5.9၊ 8.4.10 နှင့် 8.3.10 ဖြန့်ချိမှုများတွင် အားနည်းချက်ကို ပြင်ဆင်ပြီးဖြစ်သည်။
- Prometheus အတွက် မက်ထရစ်များ တင်ပို့ရောင်းချသူများကို ဖန်တီးရန် အသုံးပြုသည့် တင်ပို့သူ-တူးလ်ကိရိယာ စာကြည့်တိုက်ရှိ အားနည်းချက် (CVE-2022-46146)။ ပြဿနာက အခြေခံစစ်မှန်ကြောင်းအထောက်အထားကို ကျော်လွှားနိုင်စေတယ်။
- အထောက်အထားမရှိသောအသုံးပြုသူတစ်ဦးအား အဝေးကုဒ်ဖြင့်လုပ်ဆောင်မှုအောင်မြင်ရန်ခွင့်ပြုသည့် Apache Fineract ဘဏ္ဍာရေးဝန်ဆောင်မှုပလပ်ဖောင်းရှိ အားနည်းချက် (CVE-2022-44635)။ ပြဿနာသည် ဖိုင်များတင်ရန်အတွက် အစိတ်အပိုင်းမှ လုပ်ဆောင်ထားသော လမ်းကြောင်းများရှိ ".." စာလုံးများကို မှန်ကန်စွာ လွတ်ကင်းမှုမရှိခြင်းကြောင့် ဖြစ်ပေါ်လာခြင်းဖြစ်သည်။ Apache Fineract 1.7.1 နှင့် 1.8.1 ဖြန့်ချိမှုများတွင် အားနည်းချက်ကို ပြင်ဆင်ထားသည်။
- အထူးဖော်မတ်ချထားသည့်ဒေတာကို ဖယ်ထုတ်လိုက်သောအခါ စိတ်ကြိုက်ကုဒ်ကို လုပ်ဆောင်ခွင့်ပြုသည့် Apache Tapestry Java ဘောင်ရှိ အားနည်းချက်တစ်ခု (CVE-2022-46366)။ ပြဿနာသည် Apache Tapestry 3.x ၏ ဌာနခွဲဟောင်းတွင်သာ ပေါ်လာပြီး ၎င်းကို ပံ့ပိုးမပေးတော့ပါ။
- Apache Airflow ပံ့ပိုးပေးသူများမှ Hive (CVE-2022-41131)၊ Pinot (CVE-2022-38649)၊ Pig (CVE-2022-40189) နှင့် Spark (CVE-2022-40954) တွင် အားနည်းချက်များရှိနေသည် ၊ DAG ဖိုင်များသို့ စာရေးခွင့် မလိုအပ်ဘဲ အလုပ်ကွပ်မျက်ခြင်း၏ ဆက်စပ်မှုတွင် ဖိုင်များ သို့မဟုတ် အမိန့်အစားထိုးခြင်း။
source: opennet.ru