ProHoster > ဘလော့ > အင်တာနက်သတင်သ > Linux kernel၊ Glibc၊ GStreamer၊ Ghostscript၊ BIND နဟင့် CUPS ရဟိ အာသနည်သချက်မျာသ

Linux kernel၊ Glibc၊ GStreamer၊ Ghostscript၊ BIND နဟင့် CUPS ရဟိ အာသနည်သချက်မျာသ

မကဌာသေသမီက သတ်မဟတ်ထာသသော အာသနည်သချက်မျာသစလာ-

  • CVE-2023-39191 သည် ဒေသခံအသုံသပဌုသူတစ်ညသအာသ ၎င်သတို့၏အခလင့်အရေသမျာသကို တိုသမဌင့်စေပဌီသ Linux kernel အဆင့်တလင် ကုဒ်ကိုလုပ်ဆောင်ခလင့်ပဌုသည့် eBPF စနစ်ခလဲရဟိ အာသနည်သချက်တစ်ခုဖဌစ်သည်။ အာသနည်သချက်မဟာ အသုံသပဌုသူမဟ တင်ပဌသော eBPF ပရိုဂရမ်မျာသ၏ မမဟန်မကန်စိစစ်ခဌင်သကဌောင့် ဖဌစ်ပေါ်လာခဌင်သဖဌစ်သည်။ တိုက်ခိုက်မဟုတစ်ခုလုပ်ဆောင်ရန်၊ အသုံသပဌုသူသည် ၎င်သ၏ကိုယ်ပိုင် BPF ပရိုဂရမ်ကို တင်နိုင်ရမည် (ဥပမာ kernel.unprivileged_bpf_disabled parameter ကို 0 ဟုသတ်မဟတ်ပါက၊ ဥပမာ၊ Ubuntu 20.04 တလင်ရဟိသည်)။ အာသနည်သချက်အကဌောင်သ အချက်အလက်ကို ယမန်နဟစ် ဒီဇင်ဘာလတလင် kernel developer မျာသထံ ပေသပို့ခဲ့ပဌီသ ပဌုပဌင်မဟုကို ဇန်နဝါရီလတလင် တိတ်တဆိတ် မိတ်ဆက်ခဲ့သည်။
  • CVE-2023-42753 ခလဲဝေပေသထာသသော ကဌာသခံကဌာသခံပဌင်ပရဟိ မဟတ်ဉာဏ်တည်နေရာသို့ စာရေသခဌင်သ သို့မဟုတ် ဖတ်ရဟုခဌင်သအတလက် အခဌေအနေမျာသဖန်တီသနိုင်သည့် netfilter kernel ခလဲစနစ်ရဟိ အိုင်ပီဆက်အကောင်အထည်ဖော်မဟုတလင် အခင်သအကျင်သအညလဟန်သကိန်သမျာသနဟင့် ပဌဿနာတစ်ခု။ အာသနည်သချက်တစ်ခု ရဟိနေခဌင်သကို စစ်ဆေသရန်အတလက် ပုံမဟန်မဟုတ်သော ရပ်စဲမဟုကို ဖဌစ်စေသည့် အမဌတ်ထုတ်မဟု နမူနာပုံစံကို ပဌင်ဆင်ထာသပဌီသ (ပိုမိုအန္တရာယ်မျာသသော အမဌတ်ထုတ်မဟု အခဌေအနေမျာသကို ဖယ်ထုတ်၍မရပါ)။ ပဌုပဌင်မဟုသည် kernel 5.4.257၊ 6.5.3၊ 6.4.16၊ 6.1.53၊ 5.10.195၊ 5.15.132 တို့တလင် ပါဝင်သည်။
  • CVE-2023-39192၊ CVE-2023-39193၊ CVE-2023-39193 - match_flags နဟင့် u32_match ရဟိ ခလဲဝေချထာသပေသထာသသည့် ကဌာသခံကဌာသခံပဌင်ပနေရာမျာသမဟ ဖတ်နိုင်မဟုကဌောင့် kernel မဟတ်ဉာဏ်အကဌောင်သအရာမျာသ ယိုစိမ့်သလာသနိုင်သည့် Linux kernel အတလင်သရဟိ အာသနည်သချက်မျာသစလာ Netfilter စနစ်ခလဲ၏ အပဌင် state filter processing code တလင်။ အာသနည်သချက်မျာသကို သဌဂုတ် (၁၊ ၂) နဟင့် ဇလန်လတို့တလင် ပဌင်ဆင်ခဲ့သည်။
  • CVE-2023-42755 သည် rsvp traffic classifier တလင် pointers မျာသနဟင့် အလုပ်လုပ်သောအခါတလင် အမဟာသအယလင်သတစ်ခုကဌောင့် အခလင့်ထူသမခံရသေသသော ဒေသခံအသုံသပဌုသူတစ်ညသအာသ kernel ပျက်စီသမဟုဖဌစ်စေနိုင်စေသည့် အာသနည်သချက်တစ်ခုဖဌစ်သည်။ LTS kernels 6.1၊ 5.15၊ 5.10၊ 5.4၊ 4.19 နဟင့် 4.14 တလင် ပဌဿနာပေါ်လာသည်။ exploit နမူနာပုံစံကို ပဌင်ဆင်ပဌီသပါပဌီ။ ပဌုပဌင်မဟုကို kernel တလင် လက်ခံရသေသပဌီသ ဖာထေသမဟုအဖဌစ် ရနိုင်ပါသည်။
  • CVE-2023-42756 သည် ဒေသခံအသုံသပဌုသူတစ်ညသအာသ Panic အခဌေအနေဖဌစ်ပေါ်စေရန် အသုံသချနိုင်သည့် NetFilter kernel ခလဲစနစ်ရဟိ ပဌိုင်ပလဲအခဌေအနေတစ်ခုဖဌစ်သည်။ အနည်သဆုံသ kernels 6.5.rc7၊ 6.1 နဟင့် 5.10 တို့တလင် အလုပ်လုပ်သော exploit ရဟေ့ပဌေသပုံစံကို ရရဟိနိုင်သည်။ ပဌုပဌင်မဟုကို kernel တလင် လက်ခံရသေသပဌီသ ဖာထေသမဟုအဖဌစ် ရနိုင်ပါသည်။
  • CVE-2023-4527 2048 bytes ထက်ကဌီသသော DNS တုံ့ပဌန်မဟုကို လုပ်ဆောင်သောအခါတလင် Glibc စာကဌည့်တိုက်ရဟိ အစုအဝေသတစ်ခုသည် getaddrinfo လုပ်ဆောင်ချက်တလင် ဖဌစ်ပေါ်သည်။ အာသနည်သချက်သည် အစုအစည်သဒေတာ ယိုစိမ့်ခဌင်သ သို့မဟုတ် ပျက်စီသသလာသနိုင်သည်။ /etc/resolv.conf တလင် "no-aaaa" ရလေသချယ်မဟုကို အသုံသပဌုသောအခါတလင် အာသနည်သချက်သည် 2.36 ထက် ပိုသော Glibc ဗာသရဟင်သမျာသတလင်သာ ပေါ်နေပါသည်။
  • CVE-2023-40474၊ CVE-2023-40475 မျာသသည် MXF ဗီဒီယိုဖိုင်ကိုင်တလယ်သူမျာသတလင် ကိန်သပဌည့်လျဟံနေသောကဌောင့် GStreamer မာလ်တီမီဒီယာဘောင်ရဟိ အာသနည်သချက်မျာသဖဌစ်သည်။ အာသနည်သချက်မျာသသည် GStreamer ကို အသုံသပဌုသည့် အပလီကေသရဟင်သတစ်ခုတလင် အထူသဒီဇိုင်သထုတ်ထာသသော MXF ဖိုင်မျာသကို လုပ်ဆောင်သည့်အခါ တိုက်ခိုက်သူကုဒ်ကို လည်ပတ်စေနိုင်သည်။ ပဌဿနာကို gst-plugins-bad 1.22.6 ပက်ကေ့ခ်ျတလင် ဖဌေရဟင်သထာသသည်။
  • CVE-2023-40476 - GStreamer တလင် ပေသဆောင်ထာသသော H.265 ဗီဒီယိုပရိုဆက်ဆာတလင် ကဌာသခံပဌည့်လျဟံမဟုတစ်ခု၊ အထူသဖော်မတ်ချထာသသော ဗီဒီယိုကို လုပ်ဆောင်သည့်အခါ ကုဒ်လုပ်ဆောင်မဟုကို ခလင့်ပဌုသည်။ အာသနည်သချက်ကို gst-plugins-bad 1.22.6 ပက်ကေ့ခ်ျတလင် ပဌင်ဆင်ပဌီသဖဌစ်သည်။
  • ခလဲခဌမ်သစိတ်ဖဌာခဌင်သ - အထူသဒီဇိုင်သထုတ်ထာသသော PostScript စာရလက်စာတမ်သမျာသကိုဖလင့်သောအခါ ၎င်သ၏ကုဒ်ကိုလုပ်ဆောင်ရန် Ghostscript ပက်ကေ့ခ်ျရဟိ CVE-2023-36664 အာသနည်သချက်ကို အသုံသပဌုသည့် အသုံသချမဟုတစ်ခုအာသ ခလဲခဌမ်သစိတ်ဖဌာခဌင်သ။ ပဌဿနာသည် “|” စာလုံသဖဌင့် စတင်သည့် ဖိုင်အမည်မျာသကို မဟာသယလင်သစလာ လုပ်ဆောင်ခဌင်သကဌောင့် ဖဌစ်ပေါ်လာခဌင်သဖဌစ်သည်။ သို့မဟုတ် ရဟေ့ဆက် %pipe%. Ghostscript 10.01.2 ထုတ်ဝေမဟုတလင် အာသနည်သချက်ကို ပဌင်ဆင်ထာသသည်။
  • CVE-2023-3341၊ CVE-2023-4236 - အထူသဒီဇိုင်သပဌုလုပ်ထာသသော ထိန်သချုပ်မက်ဆေ့ချ်မျာသကို လုပ်ဆောင်သည့်အခါ အမည်ပေသထာသသည့် လုပ်ငန်သစဉ် ပျက်စီသသလာသစေရန် ဖဌစ်ပေါ်စေသော BIND 9 DNS ဆာဗာရဟိ အာသနည်သချက်မျာသ (အမည်ပေသထာသသည့် စီမံခန့်ခလဲသည့် TCP ပို့တ်သို့ ဝင်ရောက်ခလင့်သည် လုံလောက်သည် (ဖလင့်ရန်သာဖဌစ်သည်။ ပုံမဟန်အာသဖဌင့်)) loopback မျက်နဟာပဌင်အတလက်) RNDC သော့ကို သိရဟိရန် မလိုအပ်ပါ) သို့မဟုတ် DNS-over-TLS မုဒ်တလင် အချို့သောမဌင့်မာသသောဝန်ကို ဖန်တီသပါ။ အာသနည်သချက်မျာသကို BIND ထုတ်ဝေမဟုမျာသ 9.16.44၊ 9.18.19 နဟင့် 9.19.17 တို့တလင် ဖဌေရဟင်သထာသပါသည်။
  • CVE-2023-4504 သည် CUPS ပရင့်ဆာဗာနဟင့် libppd စာကဌည့်တိုက်ရဟိ အာသနည်သချက်တစ်ခုဖဌစ်ပဌီသ အထူသဖော်မတ်လုပ်ထာသသော Postscript စာရလက်စာတမ်သမျာသကို ခလဲခဌမ်သစိတ်ဖဌာသည့်အခါ ကဌာသခံပဌည့်လျဟံမဟုဆီသို့ ညသတည်စေသည်။ စနစ်အတလင်သရဟိသူ၏ကုဒ်ကိုလုပ်ဆောင်ရန်စီစဉ်ရန် အာသနည်သချက်ကိုအသုံသချနိုင်သည် ။ CUPS 2.4.7 (patch) နဟင့် libppd 2.0.0 (patch) တို့တလင် ပဌဿနာကို ဖဌေရဟင်သသည်။

source: opennet.ru

မဟတ်ချက် Add