X.Org ව්යාපෘතිය මගින් සංවර්ධනය කරන ලද සහ XPM ආකෘතියෙන් ගොනු සැකසීමට භාවිතා කරන libXpm 3.5.15 පුස්තකාලයේ නිවැරදි නිකුතුවක් ප්රකාශයට පත් කර ඇත. නව අනුවාදය දුර්වලතා තුනක් නිරාකරණය කරයි, ඉන් දෙකක් (CVE-2022-46285, CVE-2022-44617) විශේෂයෙන් සකස් කරන ලද XPM ගොනු සැකසීමේදී ලූපයකට තුඩු දෙයි. තුන්වන අවදානම (CVE-2022-4883) libXpm භාවිතා කරන යෙදුම් ක්රියාත්මක කිරීමේදී අත්තනෝමතික විධාන ක්රියාත්මක කිරීමට ඉඩ දෙයි. suid root ධජය සහිත වැඩසටහන් වැනි libXpm හා සම්බන්ධ වරප්රසාද ලත් ක්රියාවලි ධාවනය කරන විට, අවදානම ඔවුන්ගේ වරප්රසාද තීව්ර කිරීමට හැකි වේ.
සම්පීඩිත XPM ගොනු සමඟ libXpm හි ක්රියාකාරීත්වයේ විශේෂාංගයක් නිසා මෙම අවදානම ඇතිවේ - XPM.Z හෝ XPM.gz ගොනු සැකසීමේදී, පුස්තකාලය, execlp() ඇමතුම භාවිතා කරමින්, බාහිර අසුරන උපයෝගිතා (uncompress හෝ gunzip) දියත් කරයි. PATH පරිසර විචල්යය මත පදනම්ව ගණනය කෙරේ. ප්රහාරය පැමිණෙන්නේ PATH ලැයිස්තුවේ ඇති පරිශීලක-ප්රවේශ කළ හැකි නාමාවලියක තැබීම, තමන්ගේම සම්පීඩනය නොකළ හෝ තුවක්කුව ක්රියාත්මක කළ හැකි ගොනු, libXpm භාවිතා කරන යෙදුමක් දියත් කළහොත් එය ක්රියාත්මක වේ.
උපයෝගිතා සඳහා නිරපේක්ෂ මාර්ග භාවිතා කරමින් execlp ඇමතුම execl සමඟ ප්රතිස්ථාපනය කිරීමෙන් අවදානම නිරාකරණය කර ඇත. මීට අමතරව, "-disable-open-zfile" ගොඩනැගීමේ විකල්පය එකතු කර ඇත, එමඟින් සම්පීඩිත ගොනු සැකසීම අක්රිය කිරීමට සහ අසුරීමට බාහිර උපයෝගිතා ඇමතීමට ඔබට ඉඩ සලසයි.
මූලාශ්රය: opennet.ru