ProHoster > බ්ලොග් > අන්තර්ජාල පුවත් > VS Code, Grafana, GNU Emacs සහ Apache Fineract හි ඇති දුර්වලතා

VS Code, Grafana, GNU Emacs සහ Apache Fineract හි ඇති දුර්වලතා

මෑතකදී හඳුනාගත් දුර්වලතා කිහිපයක්:

  • විෂුවල් ස්ටූඩියෝ කේතය (VS කේතය) සංස්කාරකයේ තීරණාත්මක අවදානමක් (CVE-2022-41034) හඳුනාගෙන ඇත, පරිශීලකයෙකු ප්‍රහාරකයෙකු විසින් සකස් කරන ලද සබැඳියක් විවෘත කරන විට කේත ක්‍රියාත්මක කිරීමට ඉඩ සලසයි. VS කේතය ධාවනය වන පරිගණකයේ සහ "දුරස්ථ සංවර්ධන" ශ්‍රිතය භාවිතයෙන් VS කේතයට සම්බන්ධ වෙනත් ඕනෑම පරිගණකයක කේතය ක්‍රියාත්මක කළ හැක. GitHub Codespaces සහ github.dev ඇතුළුව VS කේතයේ වෙබ් අනුවාදය භාවිතා කරන්නන්ට සහ එය මත පදනම් වූ වෙබ් සංස්කාරකවරුන්ට මෙම ගැටලුව විශාලතම තර්ජනය එල්ල කරයි.

    විසින් පාලනය කරන ලද වෙබ් සේවාදායකයකින් බාගත කර ඇති Jypiter Notebook ආකෘතියේ සංස්කාරකයේ විශේෂයෙන් නිර්මාණය කරන ලද ලේඛන සැකසීමේදී, ටර්මිනලයක් සහිත කවුළුවක් විවෘත කර එහි අත්තනෝමතික කවච විධානයන් ක්‍රියාත්මක කිරීමට “command:” සේවා සබැඳි සැකසීමේ හැකියාව මෙම අවදානමට හේතු වේ. ප්‍රහාරකයා (අතිරේක තහවුරු කිරීම් නොමැතිව “ .ipynb” දිගුව සහිත බාහිර ගොනු "isTrusted" ආකාරයෙන් විවෘත වේ, එය "විධානය:" සැකසීමට ඉඩ සලසයි).

  • GNU Emacs පෙළ සංස්කාරකයේ (CVE-2022-45939) අවදානමක් හඳුනාගෙන ඇති අතර, ctags මෙවලම් කට්ටලය භාවිතයෙන් සකසන ලද නමෙහි විශේෂ අක්ෂර ආදේශ කිරීම හරහා කේතයක් සහිත ගොනුවක් විවෘත කිරීමේදී විධාන ක්‍රියාත්මක කිරීමට ඉඩ සලසයි.
  • Grafana Alerting පද්ධතිය හරහා දැනුම්දීමක් ප්‍රදර්ශනය කිරීමේදී JavaScript කේතය ක්‍රියාත්මක කිරීමට ඉඩ සලසන විවෘත දත්ත දෘශ්‍යකරණ වේදිකාව Grafana තුළ අවදානමක් (CVE-2022-31097) හඳුනාගෙන ඇත. සංස්කාරක හිමිකම් ඇති ප්‍රහාරකයෙකුට පරිපාලක මෙම සබැඳිය ක්ලික් කළහොත් විෙශේෂෙයන් නිර්මාණය කර ඇති සබැඳියක් සකස් කර පරිපාලක අයිතිවාසිකම් සහිත Grafana අතුරුමුහුණත වෙත ප්‍රවේශය ලබා ගත හැක. ග්‍රැෆානා නිකුතු 9.2.7, 9.3.0, 9.0.3, 8.5.9, 8.4.10 සහ 8.3.10 හි අවදානම ආමන්ත්‍රණය කර ඇත.
  • Prometheus සඳහා ප්‍රමිතික අපනයන මොඩියුල සෑදීමට භාවිතා කරන අපනයනකරු-මෙවලම් කට්ටල පුස්තකාලයේ ඇති අවදානමක් (CVE-2022-46146). ගැටළුව මූලික සත්‍යාපනය මග හැරීමට ඔබට ඉඩ සලසයි.
  • Apache Fineract මූල්‍ය සේවා නිර්මාණය කිරීමේ වේදිකාවේ ඇති අවදානමක් (CVE-2022-44635), එය සත්‍යාපනය නොකළ පරිශීලකයෙකුට දුරස්ථ කේත ක්‍රියාත්මක කිරීමට ඉඩ සලසයි. ගොනු පැටවීම සඳහා සංරචකය මඟින් සැකසූ මාර්ගවල ".." අක්ෂර නිසි ලෙස ගැලවී යාමක් නොමැතිකම නිසා ගැටළුව ඇතිවේ. Apache Fineract 1.7.1 සහ 1.8.1 නිකුතු වල අවදානම නිරාකරණය කර ඇත.
  • Apache Tapestry Java රාමුව තුළ ඇති අවදානමක් (CVE-2022-46366) විශේෂයෙන් ෆෝමැට් කළ දත්ත deerialized විට කේතය ක්‍රියාත්මක කිරීමට ඉඩ සලසයි. ගැටළුව දිස්වන්නේ Apache Tapestry 3.x හි පැරණි ශාඛාවේ පමණි, එය තවදුරටත් සහාය නොදක්වයි.
  • Apache Airflow සපයන්නන්ගේ Hive (CVE-2022-41131), Pinot (CVE-2022-38649), Pig (CVE-2022-40189) සහ Spark (CVE-2022-40954) වෙත ඇති අවදානම්, දුරස්ථ කේතය හරහා ක්‍රියාත්මක වීමට හේතු වේ. DAG ගොනු වෙත ලිඛිත ප්‍රවේශයක් නොමැතිව රැකියා ක්‍රියාත්මක කිරීමේ සන්දර්භය තුළ අත්තනෝමතික ගොනු හෝ විධාන ආදේශ කිරීම.

මූලාශ්රය: opennet.ru

අදහස් එක් කරන්න