ProHoster > බ්ලොග් > අන්තර්ජාල පුවත් > Netatalk හි තීරණාත්මක දුර්වලතා දුරස්ථ කේත ක්‍රියාත්මක කිරීමට මග පාදයි

Netatalk හි තීරණාත්මක දුර්වලතා දුරස්ථ කේත ක්‍රියාත්මක කිරීමට මග පාදයි

AppleTalk සහ Apple ගොනු කිරීමේ ප්‍රොටෝකෝලය (AFP) ජාල ප්‍රොටෝකෝල ක්‍රියාත්මක කරන සේවාදායකයක් වන Netatalk හි, විශේෂයෙන් නිර්මාණය කරන ලද පැකට් යැවීමෙන් ඔබේ කේතය මූල අයිතිවාසිකම් සමඟ ක්‍රියාත්මක කිරීම සංවිධානය කිරීමට ඉඩ සලසන දුරස්ථව සූරාකෑමට ලක්විය හැකි අවදානම් හයක් හඳුනාගෙන ඇත. Netatalk බොහෝ ගබඩා උපාංග නිෂ්පාදකයින් (NAS) විසින් ගොනු හුවමාරු කිරීම සහ ඇපල් පරිගණක වලින් මුද්‍රණ යන්ත්‍ර වෙත ප්‍රවේශය ලබා දීම සඳහා භාවිතා කරයි, උදාහරණයක් ලෙස, එය බටහිර ඩිජිටල් උපාංගවල භාවිතා කරන ලදී (ගැටලුව විසඳනු ලැබුවේ WD ස්ථිරාංග වලින් Netatalk ඉවත් කිරීමෙන්). Netatalk OpenWRT (OpenWrt 22.03 ලෙස ඉවත් කර ඇත), Debian, Ubuntu, SUSE, Fedora සහ FreeBSD ඇතුළු බොහෝ බෙදාහැරීම්වල ද ඇතුළත් වේ, නමුත් පෙරනිමියෙන් භාවිතා නොවේ. Netatalk 3.1.13 නිකුතුවේ ගැටළු විසඳා ඇත.

හඳුනාගත් ගැටළු:

  • CVE-2022-0194 – ad_addcomment() ශ්‍රිතය ස්ථාවර බෆරයකට පිටපත් කිරීමට පෙර බාහිර දත්තවල ප්‍රමාණය නිසි ලෙස පරීක්ෂා නොකරයි. අනාරක්ෂිත දුරස්ථ ප්‍රහාරකයෙකුට ඔවුන්ගේ කේතය මූල වරප්‍රසාද සමඟ ක්‍රියාත්මක කිරීමට අවධානම ඉඩ දෙයි.
  • CVE-2022-23121 – AppleDouble ඇතුළත් කිරීම් විග්‍රහ කිරීමේදී සිදුවන parse_entries() ශ්‍රිතයේ වැරදි දෝෂ හැසිරවීම. අනාරක්ෂිත දුරස්ථ ප්‍රහාරකයෙකුට ඔවුන්ගේ කේතය මූල වරප්‍රසාද සමඟ ක්‍රියාත්මක කිරීමට අවධානම ඉඩ දෙයි.
  • CVE-2022-23122 – setfilparams() ශ්‍රිතය මඟින් බාහිර දත්ත ස්ථාවර බෆරයකට පිටපත් කිරීමට පෙර ඒවායේ ප්‍රමාණය නිවැරදිව පරීක්ෂා නොකරයි. අනාරක්ෂිත දුරස්ථ ප්‍රහාරකයෙකුට ඔවුන්ගේ කේතය මූල වරප්‍රසාද සමඟ ක්‍රියාත්මක කිරීමට අවධානම ඉඩ දෙයි.
  • CVE-2022-23124 get_finderinfo() ක්‍රමයේ නිවැරදි ආදාන වලංගුකරණයක් නොමැතිකම, වෙන් කළ බෆරයෙන් පිටත ප්‍රදේශයකින් කියවීමක් සිදුවේ. අනාරක්ෂිත දුරස්ථ ප්‍රහාරකයෙකුට ක්‍රියාවලි මතකයෙන් තොරතුරු කාන්දු කිරීමට අවදානමට ඉඩ සලසයි. වෙනත් දුර්වලතා සමඟ සංයෝජනය වූ විට, මූල වරප්‍රසාද සහිත කේතය ක්‍රියාත්මක කිරීමට ද දෝෂය භාවිතා කළ හැක.
  • CVE-2022-23125 දත්ත ස්ථාවර බෆරයකට පිටපත් කිරීමට පෙර copyapplfile() ශ්‍රිතයේ "len" මූලද්‍රව්‍යය විග්‍රහ කිරීමේදී අස්ථානගත වූ ප්‍රමාණයේ චෙක්පතක් ඇත. අනාරක්ෂිත දුරස්ථ ප්‍රහාරකයෙකුට ඔවුන්ගේ කේතය මූල වරප්‍රසාද සමඟ ක්‍රියාත්මක කිරීමට අවධානම ඉඩ දෙයි.
  • CVE-2022-23123 - getdirparams() ක්‍රමයේ පිටතට යන වලංගුකරණයක් නොමැතිකම, වෙන් කළ බෆරයෙන් පිටත ප්‍රදේශයකින් කියවීමක් සිදුවේ. අනාරක්ෂිත දුරස්ථ ප්‍රහාරකයෙකුට ක්‍රියාවලි මතකයෙන් තොරතුරු කාන්දු කිරීමට අවදානමට ඉඩ සලසයි.

මූලාශ්රය: opennet.ru

අදහස් එක් කරන්න