SaltStack හි අවදානමක් හරහා LineageOS යටිතල ව්‍යුහය හැක් කිරීම

ජංගම වේදිකා සංවර්ධකයින් LineageOS, CyanogenMod වෙනුවට ආදේශ කරන ලදී අවවාද කළා ව්‍යාපෘති යටිතල ව්‍යුහය අනවසරයෙන් ඇතුළුවීමේ අංශු හඳුනා ගැනීම ගැන. මැයි 6 වන දින උදෑසන 3 ට (MSK) මධ්‍යගත වින්‍යාස කළමනාකරණ පද්ධතියේ ප්‍රධාන සේවාදායකයට ප්‍රවේශ වීමට ප්‍රහාරකයා සමත් වූ බව සටහන් වේ. සෝල්ට් ස්ටැක් නොගැලපෙන අවදානමක් සූරාකෑම හරහා. සිද්ධිය මේ වන විට විශ්ලේෂණය කරමින් පවතින අතර විස්තර තවමත් ලැබී නොමැත.

වාර්තා කර ඇත ප්‍රහාරය ඩිජිටල් අත්සන් ජනනය කිරීමේ යතුරු, එකලස් කිරීමේ පද්ධතිය සහ වේදිකාවේ ප්‍රභව කේතයට බල නොපායි - යතුරු පිහිටා තිබුණි SaltStack හරහා කළමනාකරණය කරන ලද ප්‍රධාන යටිතල ව්‍යුහයෙන් සම්පූර්ණයෙන්ම වෙන් වූ සත්කාරක මත, අප්‍රේල් 30 වැනි දින තාක්ෂණික හේතූන් මත ඉදිකිරීම් නතර කරන ලදී. පිටුවේ ඇති තොරතුරු අනුව විනිශ්චය කිරීම status.lineageos.org සංවර්ධකයින් දැනටමත් Gerrit කේත සමාලෝචන පද්ධතිය, වෙබ් අඩවිය සහ විකි සමඟ සේවාදායකය ප්‍රතිසාධනය කර ඇත. එකලස් කිරීම් සහිත සේවාදායකය (builds.lineageos.org), ගොනු බාගත කිරීමේ ද්වාරය (download.lineageos.org), තැපැල් සේවාදායකයන් සහ දර්පණ වෙත යොමු කිරීම සම්බන්ධීකරණ පද්ධතිය අක්‍රියව පවතී.

SaltStack වෙත පිවිසීම සඳහා ජාල වරාය (4506) නිසා මෙම ප්‍රහාරය සිදු විය නැත ෆයර්වෝලය මගින් බාහිර ඉල්ලීම් සඳහා අවහිර කර ඇත - ප්‍රහාරකයාට SaltStack හි තීරණාත්මක අවදානමක් දිස්වන තෙක් බලා සිටීමට සිදු වූ අතර පරිපාලකයින් විසින් නිවැරදි කිරීමක් සහිත යාවත්කාලීනයක් ස්ථාපනය කිරීමට පෙර එය ප්‍රයෝජනයට ගැනීමට සිදු විය. සියලුම SaltStack පරිශීලකයින්ට ඔවුන්ගේ පද්ධති ඉක්මනින් යාවත්කාලීන කිරීමට සහ අනවසරයෙන් ඇතුළුවීමේ සලකුණු පරීක්ෂා කිරීමට උපදෙස් දෙනු ලැබේ.

පෙනෙන විදිහට, SaltStack හරහා කරන ප්‍රහාර LineageOS අනවසරයෙන් ඇතුළුවීමට සීමා නොවූ අතර එය පුළුල් විය - දිවා කාලයේදී, SaltStack යාවත්කාලීන කිරීමට කාලය නොමැති විවිධ පරිශීලකයින් සමරන්න පතල් කේතය හෝ සේවාදායකයන් මත පසුබිම් ස්ථානගත කිරීම සමඟ ඔවුන්ගේ යටිතල පහසුකම්වල සම්මුතිය හඳුනා ගැනීම. ඇතුළුව වාර්තා විය අන්තර්ගත කළමනාකරණ පද්ධති යටිතල ව්‍යූහයට සමාන අනවසරයෙන් ඇතුළුවීමක් ගැන අවතාරයක්, එය Ghost(Pro) වෙබ් අඩවිවලට සහ බිල්පත්වලට බලපෑවේ (ක්‍රෙඩිට් කාඩ් අංකවලට බලපෑවේ නැතැයි කියනු ලැබේ, නමුත් Ghost භාවිතා කරන්නන්ගේ මුරපද හෑෂ් ප්‍රහාරකයින් අතට පත්විය හැක).

අප්රේල් 29 විය නිදහස් කළා SaltStack වේදිකාව යාවත්කාලීන 3000.2 и 2019.2.4, ඔවුන් ඉවත් කරන ලදී දුර්වලතා දෙකක් (අවදානම්තා පිළිබඳ තොරතුරු අප්‍රේල් 30 දින ප්‍රකාශයට පත් කරන ලදී), ඒවා සත්‍යාපනයෙන් තොර බැවින් ඉහළම අන්තරාය පවරනු ලැබේ. ඉඩ දෙන්න පාලක ධාරකයේ (ලුණු-මාස්ටර්) සහ එය හරහා කළමනාකරණය කරන සියලුම සේවාදායකයන් මත දුරස්ථ කේත ක්රියාත්මක කිරීම.

• පළමු අවදානම (CVE-2020-11651) ලුණු-මාස්ටර් ක්‍රියාවලියේදී ClearFuncs පන්තියේ ක්‍රම ඇමතීමේ දී නිසි චෙක්පත් නොමැතිකම නිසා සිදු වේ. අවදානම දුරස්ථ පරිශීලකයෙකුට සත්‍යාපනයකින් තොරව ඇතැම් ක්‍රමවලට ප්‍රවේශ වීමට ඉඩ සලසයි. ගැටළු සහගත ක්‍රම ඇතුළුව, ප්‍රහාරකයෙකුට ප්‍රධාන සේවාදායකයට මූල අයිතිවාසිකම් සමඟ ප්‍රවේශ වීම සඳහා ටෝකනයක් ලබා ගත හැකි අතර ඩීමන් ක්‍රියාත්මක වන සේවා ධාරක මත ඕනෑම විධානයක් ක්‍රියාත්මක කළ හැකිය. ලුණු-මිනියන්. මෙම අවදානම ඉවත් කිරීමේ පැච් එක විය පළ කර ඇත දින 20 කට පෙර, නමුත් එය භාවිතා කිරීමෙන් පසු ඒවා මතු විය පසුගාමී වෙනස්, ගොනු සමමුහුර්තකරණයේ අසාර්ථකත්වය හා බාධා කිරීම් වලට තුඩු දෙයි.
• දෙවන අවදානම (CVE-2020-11652) ClearFuncs පන්තිය සමඟ උපාමාරු කිරීම හරහා, මූල අයිතිවාසිකම් සහිත ප්‍රධාන සේවාදායකයේ FS හි අත්තනෝමතික නාමාවලි සඳහා පූර්ණ ප්‍රවේශය සඳහා භාවිතා කළ හැකි, යම් ආකාරයක හැඩතල ගැන්වූ මාර්ග හරහා ක්‍රම වෙත ප්‍රවේශය ලබා ගැනීමට ඉඩ සලසයි, නමුත් සත්‍යාපනය කළ ප්‍රවේශය අවශ්‍ය වේ ( එවැනි ප්‍රවේශයක් පළමු අවදානම භාවිතයෙන් ලබා ගත හැකි අතර දෙවන අවදානම භාවිතා කර සම්පූර්ණ යටිතල ව්‍යූහය සම්පූර්ණයෙන්ම සම්මුතියට පත් කළ හැක).

මූලාශ්රය: opennet.ru