මයික්රොසොෆ්ට් විසින් මයික්රොසොෆ්ට් එක්ස්චේන්ජ් හි තීරණාත්මක අවදානමක් ක්රියාත්මක කිරීමේ මූලධර්මය විදහා දක්වන මූලාකෘති සූරාකෑමක් සහිත කේතය (පිටපත) GitHub වෙතින් ඉවත් කර ඇත. මෙම ක්රියාව බොහෝ ආරක්ෂක පර්යේෂකයන් අතර කෝපයට හේතු විය, මන්දයත් සූරාකෑමේ මූලාකෘතිය පැච් මුදා හැරීමෙන් පසුව ප්රකාශයට පත් කරන ලද අතර එය සාමාන්ය භාවිතයකි.
GitHub රීති වල සක්රීය ද්වේෂ සහගත කේතයක් හෝ සූරාකෑම් (එනම්, පරිශීලක පද්ධති වලට පහර දෙන ඒවා) ගබඩාවල ස්ථානගත කිරීම තහනම් කරන වගන්තියක් මෙන්ම ප්රහාර අතරතුර සූරාකෑම් සහ අනිෂ්ට කේත ලබා දීමේ වේදිකාවක් ලෙස GitHub භාවිතා කරයි. නමුත් වෙළෙන්දෙකු පැච් එකක් නිකුත් කිරීමෙන් පසු ප්රහාරක ක්රම විශ්ලේෂණය කිරීමට ප්රකාශයට පත් කරන ලද පර්යේෂකයන් විසින් සත්කාරක කේත මූලාකෘති සඳහා මෙම රීතිය මින් පෙර යෙදී නොමැත.
එවැනි කේතයක් සාමාන්යයෙන් ඉවත් නොකරන බැවින්, GitHub හි ක්රියාවන් මයික්රොසොෆ්ට් විසින් එහි නිෂ්පාදනයේ ඇති අවදානම් තත්ත්වය පිළිබඳ තොරතුරු අවහිර කිරීමට පරිපාලන සම්පත් භාවිතා කරන බව වටහා ගන්නා ලදී. විවේචකයින් මයික්රොසොෆ්ට් හි ද්විත්ව ප්රමිතීන් සහ ආරක්ෂක පර්යේෂණ ප්රජාවට ඉහළ උනන්දුවක් දක්වන අන්තර්ගතයන් වාරණය කරන්නේ අන්තර්ගතය මයික්රොසොෆ්ට් හි අවශ්යතාවලට හානි කරන නිසා යැයි චෝදනා කර ඇත. Google Project Zero කණ්ඩායමේ සාමාජිකයෙකුට අනුව, මෙම තොරතුරු ප්රහාරකයින් අතට පත් නොවී පර්යේෂණ ප්රතිඵල වෙනත් විශේෂඥයින් සමඟ බෙදා ගැනීමට ක්රමයක් නොමැති බැවින්, සූරාකෑමේ මූලාකෘති ප්රකාශයට පත් කිරීමේ පුරුද්ද යුක්ති සහගත වන අතර ප්රතිලාභය අවදානම ඉක්මවා යයි.
ක්රිප්ටෝස් ලොජික් හි පර්යේෂකයෙක් විරෝධය දැක්වීමට උත්සාහ කළේ, ජාලයේ තවමත් යාවත්කාලීන නොකළ මයික්රොසොෆ්ට් එක්ස්චේන්ජ් සේවාදායකයන් 50 කට වඩා ඇති තත්වයක් තුළ, ප්රහාර සඳහා සූදානම් සූරාකෑමේ මූලාකෘති ප්රකාශනය සැක සහිත බව පෙන්වා දෙමිනි. සූරාකෑම් කලින් ප්රකාශනය කිරීමෙන් ඇති විය හැකි හානිය ආරක්ෂක පර්යේෂකයන්ට ඇති ප්රතිලාභයට වඩා වැඩි ය, මන්ද එවැනි සූරාකෑම් තවමත් යාවත්කාලීන කර නොමැති සේවාදායකයන් විශාල සංඛ්යාවක් නිරාවරණය කරන බැවිනි.
GitHub නියෝජිතයින් ඉවත් කිරීම සේවාවේ පිළිගත හැකි භාවිත ප්රතිපත්ති උල්ලංඝනය කිරීමක් ලෙස අදහස් දැක්වූ අතර පර්යේෂණ සහ අධ්යාපනික අරමුණු සඳහා සූරාකෑමේ මූලාකෘති ප්රකාශයට පත් කිරීමේ වැදගත්කම ඔවුන් වටහාගෙන ඇති නමුත් ප්රහාරකයින් අතින් ඒවායින් ඇති කළ හැකි හානියේ අන්තරාය ද හඳුනා ගන්නා බව ප්රකාශ කළහ. එබැවින්, GitHub ආරක්ෂක පර්යේෂණ ප්රජාවේ අවශ්යතා සහ විභව වින්දිතයින්ගේ ආරක්ෂාව අතර ප්රශස්ත සමතුලිතතාවයක් සොයා ගැනීමට උත්සාහ කරයි. මෙම අවස්ථාවෙහිදී, තවමත් යාවත්කාලීන කර නොමැති පද්ධති විශාල ප්රමාණයක් තිබේ නම්, ප්රහාර එල්ල කිරීම සඳහා සුදුසු සූරාකෑමක් ප්රකාශයට පත් කිරීම GitHub නීති උල්ලංඝනය කිරීමක් ලෙස සැලකේ.
අවදානම් (දින 0) පැවතීම පිළිබඳ තොරතුරු නිවැරදි කිරීම සහ හෙළිදරව් කිරීමට බොහෝ කලකට පෙර, ප්රහාර ජනවාරි මාසයේ ආරම්භ වූ බව සැලකිය යුතු කරුණකි. සූරාකෑමේ මූලාකෘතිය ප්රකාශයට පත් කිරීමට පෙර, සේවාදායකයන් 100 ක් පමණ දැනටමත් ප්රහාරයට ලක්ව ඇති අතර, දුරස්ථ පාලක සඳහා පසුබිම් දොරක් සවි කර ඇත.
දුරස්ථ GitHub සූරාකෑමේ මූලාකෘතියක් CVE-2021-26855 (ProxyLogon) අනාරක්ෂිත බව පෙන්නුම් කරයි, එය අත්තනෝමතික පරිශීලකයෙකුගේ දත්ත සත්යාපනයකින් තොරව උපුටා ගැනීමට ඉඩ සලසයි. CVE-2021-27065 සමඟ ඒකාබද්ධ වූ විට, අනාරක්ෂිතභාවය පරිපාලක අයිතිවාසිකම් සමඟ සේවාදායකයේ කේතය ක්රියාත්මක කිරීමට ඉඩ සලසයි.
සියලුම සූරාකෑම් ඉවත් කර නැත; උදාහරණයක් ලෙස, GreyOrder කණ්ඩායම විසින් වැඩි දියුණු කරන ලද තවත් සූරාකෑමක සරල අනුවාදයක් තවමත් GitHub මත පවතී. මයික්රොසොෆ්ට් එක්ස්චේන්ජ් භාවිතා කරන සමාගම්වලට විශාල ප්රහාර එල්ල කිරීමට භාවිතා කළ හැකි තැපැල් සේවාදායකයේ පරිශීලකයින් ගණන් කිරීම සඳහා කේතයට අමතර ක්රියාකාරීත්වයක් එක් කිරීමෙන් පසු මුල් GreyOrder සූරාකෑම ඉවත් කළ බව සූරාකෑමේ සටහනේ සඳහන් වේ.
මූලාශ්රය: opennet.ru