Aqua Security හි පර්යේෂකයන් විසින් Ubuntu බෙදාහැරීමේ කට්ටලය භාවිතා කරන්නන්ට ප්රහාරයක් එල්ල කිරීමේ හැකියාව පිළිබඳව අවධානය යොමු කරන ලද අතර, "විධාන-නොසොයාගත්" හසුරුවෙහි ක්රියාත්මක කිරීමේ විශේෂාංග භාවිතා කරමින්, එය වැඩසටහනක් දියත් කිරීමට උත්සාහ කරන්නේ නම් ඉඟියක් සපයයි. පද්ධතිය තුළ නොවේ. ගැටළුව වන්නේ පද්ධතිය තුළ නොමැති ධාවනය කිරීමට විධානයන් ඇගයීමේදී, "command-not-fown" භාවිතා කරන්නේ සම්මත ගබඩාවලින් පැකේජ පමණක් නොව, නිර්දේශ තෝරාගැනීමේදී snapcraft.io නාමාවලියෙන් පැකේජ ස්නැප් කිරීමයි.
snapcraft.io නාමාවලියෙහි අන්තර්ගතය මත පදනම්ව නිර්දේශයක් උත්පාදනය කරන විට, "command-not-fown-fown" හසුරුවන්නා විසින් පැකේජ තත්ත්වය සැලකිල්ලට නොගන්නා අතර විශ්වාස නොකළ පරිශීලකයින් විසින් නාමාවලියට එක් කරන ලද පැකේජ පමණක් ආවරණය කරයි. මේ අනුව, ප්රහාරකයෙකුට snapcraft.io හි සැඟවුණු අනිෂ්ට අන්තර්ගතයන් සහිත පැකේජයක් සහ පවතින DEB පැකේජ සමඟ අතිච්ඡාදනය වන නමක්, මුලින් ගබඩාවේ නොතිබූ වැඩසටහන්, හෝ නම් ටයිප් කිරීමේදී සාමාන්ය අක්ෂර වින්යාස සහ පරිශීලක දෝෂ පිළිබිඹු කරන ව්යාජ යෙදුම් ඇතුළත් කළ හැකිය. ජනප්රිය උපයෝගිතා.
උදාහරණයක් ලෙස, "traceroute" සහ "tcpdump" උපයෝගිතා වල නම් ටයිප් කිරීමේදී පරිශීලකයා අතින් වැරදීමක් සිදුවනු ඇතැයි අපේක්ෂාවෙන් ඔබට "tracert" සහ "tcpdamp" පැකේජ තැබිය හැකි අතර, "command-not-found" නිර්දේශ කරනු ඇත. snapcraft.io වෙතින් ප්රහාරකයා විසින් තැබූ අනිෂ්ට පැකේජ ස්ථාපනය කිරීම. පරිශීලකයා අල්ලා ගැනීම නොදකින අතර පද්ධතිය නිර්දේශ කරන්නේ ඔප්පු කළ පැකේජ පමණක් යැයි සිතිය හැකිය. ප්රහාරකයෙකුට snapcraft.io හි පැකේජයක් තැබිය හැකිය, එහි නම දැනට පවතින deb පැකේජ සමඟ අතිච්ඡාදනය වන අතර, එම අවස්ථාවේදී “command-not-fown-fown” මඟින් deb සහ snap ස්ථාපනය කිරීම සඳහා නිර්දේශ දෙකක් ලබා දෙනු ඇති අතර, පරිශීලකයාට එය වඩාත් ආරක්ෂිත යැයි සලකමින් snap තෝරාගත හැක. නැතහොත් නව අනුවාදයෙන් පෙළඹී ඇත.
snapcraft.io ස්වයංක්රීය සමාලෝචනය සඳහා ඉඩ දෙන Snap යෙදුම් ධාවනය කළ හැක්කේ හුදකලා පරිසරයක පමණි (හුදකලා නොවන ස්නැප් ප්රකාශනය කරනු ලබන්නේ අතින් සමාලෝචනයෙන් පසුව පමණි). ප්රහාරකයෙකුට ජාලයට ප්රවේශය ඇති හුදකලා පරිසරයක ක්රියාත්මක කිරීම ප්රමාණවත් විය හැකිය, උදාහරණයක් ලෙස, ගුප්තකේතන මුදල් හෑරීම, DDoS ප්රහාර සිදු කිරීම හෝ අයාචිත තැපැල් යැවීම.
ප්රහාරකයෙකුට ද්වේෂසහගත පැකේජවල හුදකලා බයිපාස් ශිල්පීය ක්රම භාවිතා කළ හැකිය, එනම් කර්නලය සහ හුදකලා යාන්ත්රණයන්හි නොගැලපෙන දුර්වලතා උපයෝගී කර ගැනීම, බාහිර සම්පත් වෙත ප්රවේශ වීමට ස්නැප් අතුරුමුහුණත් භාවිතා කිරීම (සැඟවුණු ශ්රව්ය සහ දෘශ්ය පටිගත කිරීම් සඳහා) හෝ X11 ප්රොටෝකෝලය භාවිතා කරන විට යතුරුපුවරු ආදානය ග්රහණය කර ගැනීම ( වැලිපිල්ල පරිසරයක වැඩ කරන Keyloggers නිර්මාණය කිරීමට).
මූලාශ්රය: opennet.ru