မကြာသေးမီက သတ်မှတ်ထားသော အားနည်းချက်များစွာ-
- တိုက်ခိုက်သူမှပြင်ဆင်ထားသောလင့်ခ်ကိုအသုံးပြုသူတစ်ဦးဖွင့်သောအခါတွင်အသုံးပြုသူမှပြင်ဆင်ထားသောလင့်ခ်ကိုဖွင့်သောအခါတွင်အရေးကြီးသောအားနည်းချက် (CVE-2022-41034) ကို Visual Studio Code (VS Code) တွင်တွေ့ရှိခဲ့သည်။ ကုဒ်ကို VS Code စက်တွင်ဖြစ်စေ သို့မဟုတ် အဝေးထိန်း ဖွံ့ဖြိုးတိုးတက်မှုအင်္ဂါရပ်ကို အသုံးပြု၍ VS Code နှင့် ချိတ်ဆက်ထားသော အခြားမည်သည့်စက်တွင်မဆို လုပ်ဆောင်နိုင်သည်။ ပြဿနာသည် GitHub Codespaces နှင့် github.dev အပါအဝင် ၎င်းကိုအခြေခံ၍ VS Code နှင့် web တည်းဖြတ်သူများ၏ ဝဘ်ဗားရှင်းအသုံးပြုသူများအတွက် အကြီးမားဆုံးအန္တရာယ်ဖြစ်လာသည်။
အယ်ဒီတာမှ ဒေါင်းလုဒ်လုပ်ထားသော Jypiter Notebook ဖော်မတ်ဖြင့် အထူးဖော်မတ်ချထားသော စာရွက်စာတမ်းများကို စီမံဆောင်ရွက်သည့်အခါ terminal window တစ်ခုဖွင့်ရန်နှင့် ၎င်းတွင် arbitrary shell command များကို လုပ်ဆောင်ရန် "command:" service link များကို စီမံဆောင်ရွက်နိုင်စွမ်းကြောင့် အားနည်းချက်ဖြစ်ပေါ်ပါသည်။ ဝဘ်ဆာဗာများတိုက်ခိုက်သူမှ ထိန်းချုပ်ထားသည် (".ipynb" extension ရှိသော ပြင်ပဖိုင်များကို နောက်ထပ်အတည်ပြုချက်မရှိဘဲ "isTrusted" mode တွင်ဖွင့်ထားပြီး "command:" လုပ်ဆောင်ခွင့်ပြုသည်)။
- ctags ကိရိယာတန်ဆာပလာကို အသုံးပြု၍ လုပ်ဆောင်ခဲ့သော အမည်တွင် အထူးဇာတ်ကောင်များ အစားထိုးခြင်းဖြင့် ဖိုင်တစ်ခုဖွင့်သည့်အခါ ကုဒ်ဖြင့် ညွှန်ကြားချက်များကို စုစည်းခွင့်ပြုသည့် GNU Emacs စာသားတည်းဖြတ်သူ (CVE-2022-45939) တွင် အားနည်းချက်တစ်ခုကို ဖော်ထုတ်ခဲ့သည်။
- Grafana သတိပေးချက်စနစ်မှတစ်ဆင့် အကြောင်းကြားချက်တစ်ခုပြသသည့်အခါ JavaScript ကုဒ်ကို လုပ်ဆောင်နိုင်စေမည့် Grafana open source data visualization platform တွင် အားနည်းချက်တစ်ခု (CVE-2022-31097) ကို တွေ့ရှိခဲ့သည်။ တည်းဖြတ်ပိုင်ခွင့်ရှိသော တိုက်ခိုက်သူသည် ဤလင့်ခ်ကို နှိပ်ပါက အထူးဒီဇိုင်းရေးဆွဲထားသော လင့်ခ်ကို ပြင်ဆင်နိုင်ပြီး စီမံခန့်ခွဲသူအခွင့်အရေးများနှင့်အတူ Grafana အင်တာဖေ့စ်သို့ ဝင်ရောက်နိုင်မည်ဖြစ်သည်။ Grafana 9.2.7၊ 9.3.0၊ 9.0.3၊ 8.5.9၊ 8.4.10 နှင့် 8.3.10 ဖြန့်ချိမှုများတွင် အားနည်းချက်ကို ပြင်ဆင်ပြီးဖြစ်သည်။
- Prometheus အတွက် မက်ထရစ်များ တင်ပို့ရောင်းချသူများကို ဖန်တီးရန် အသုံးပြုသည့် တင်ပို့သူ-တူးလ်ကိရိယာ စာကြည့်တိုက်ရှိ အားနည်းချက် (CVE-2022-46146)။ ပြဿနာက အခြေခံစစ်မှန်ကြောင်းအထောက်အထားကို ကျော်လွှားနိုင်စေတယ်။
- အထောက်အထားမရှိသောအသုံးပြုသူတစ်ဦးအား အဝေးကုဒ်ဖြင့်လုပ်ဆောင်မှုအောင်မြင်ရန်ခွင့်ပြုသည့် Apache Fineract ဘဏ္ဍာရေးဝန်ဆောင်မှုပလပ်ဖောင်းရှိ အားနည်းချက် (CVE-2022-44635)။ ပြဿနာသည် ဖိုင်များတင်ရန်အတွက် အစိတ်အပိုင်းမှ လုပ်ဆောင်ထားသော လမ်းကြောင်းများရှိ ".." စာလုံးများကို မှန်ကန်စွာ လွတ်ကင်းမှုမရှိခြင်းကြောင့် ဖြစ်ပေါ်လာခြင်းဖြစ်သည်။ Apache Fineract 1.7.1 နှင့် 1.8.1 ဖြန့်ချိမှုများတွင် အားနည်းချက်ကို ပြင်ဆင်ထားသည်။
- အထူးဖော်မတ်ချထားသည့်ဒေတာကို ဖယ်ထုတ်လိုက်သောအခါ စိတ်ကြိုက်ကုဒ်ကို လုပ်ဆောင်ခွင့်ပြုသည့် Apache Tapestry Java ဘောင်ရှိ အားနည်းချက်တစ်ခု (CVE-2022-46366)။ ပြဿနာသည် Apache Tapestry 3.x ၏ ဌာနခွဲဟောင်းတွင်သာ ပေါ်လာပြီး ၎င်းကို ပံ့ပိုးမပေးတော့ပါ။
- Apache Airflow ပံ့ပိုးပေးသူများမှ Hive (CVE-2022-41131)၊ Pinot (CVE-2022-38649)၊ Pig (CVE-2022-40189) နှင့် Spark (CVE-2022-40954) တွင် အားနည်းချက်များရှိနေသည် ၊ DAG ဖိုင်များသို့ စာရေးခွင့် မလိုအပ်ဘဲ အလုပ်ကွပ်မျက်ခြင်း၏ ဆက်စပ်မှုတွင် ဖိုင်များ သို့မဟုတ် အမိန့်အစားထိုးခြင်း။
source: opennet.ru
