د libXpm 3.5.15 کتابتون یوه اصلاحي خپرونه، چې د X.Org پروژې لخوا رامینځته شوې او د XPM بڼه کې د فایلونو پروسس کولو لپاره کارول کیږي، خپره شوې. نوې نسخه درې زیانمننې حل کوي، چې دوه یې (CVE-2022-46285, CVE-2022-44617) د ځانګړي ډیزاین شوي XPM فایلونو پروسس کولو په وخت کې لوپ ته الرښوونه کوي. دریم زیانمنتیا (CVE-2022-4883) د خپل سري حکمونو اجرا کولو ته اجازه ورکوي کله چې هغه غوښتنلیکونه اجرا کوي چې libXpm کاروي. کله چې د libXpm سره تړلي مراعات شوي پروسې پرمخ وړي، د بیلګې په توګه، د سوډ روټ بیرغ سره پروګرامونه، زیانمنتیا دا امکان ورکوي چې د یو چا امتیازات زیات کړي.
زیانمنتیا د هغه لارې له امله رامینځته کیږي چې libXpm د کمپریس شوي XPM فایلونو سره کار کوي - کله چې د XPM.Z یا XPM.gz فایلونو پروسس کول ، کتابتون د execlp() کال په کارولو سره بهرني غیر کمپریس اسانتیاوې (uncompress یا gunzip) په لاره اچوي ، هغه لاره چې د هغې په اساس محاسبه کیږي د PATH چاپیریال متغیر کې. برید د کارونکي لپاره د لاسرسي وړ لارښود کې ځای په ځای کولو پورې اړه لري ، د PATH لیست کې شتون لري ، خپل غیر کمپریس یا د ټوپک زپ اجرا وړ فایلونه ، کوم چې به اجرا شي که چیرې د libXpm کارولو غوښتنلیک پیل شي.
زیانمنتیا د یوټیلټیو لپاره د مطلق لارو په کارولو سره د execl سره د execlp کال په ځای کولو سره حل شوې. سربیره پردې ، د اسمبلۍ اختیار "-disable-open-zfile" اضافه شوی ، کوم چې تاسو ته اجازه درکوي د کمپریس شوي فایلونو پروسس غیر فعال کړئ او د پیک کولو لپاره بهرنۍ اسانتیاو ته زنګ ووهئ.
سرچینه: opennet.ru