புரோஹோஸ்டர் > Блог > இணைய செய்தி > Netatalk இல் உள்ள முக்கியமான பாதிப்புகள் ரிமோட் குறியீடு செயல்படுத்தலுக்கு வழிவகுக்கும்

Netatalk இல் உள்ள முக்கியமான பாதிப்புகள் ரிமோட் குறியீடு செயல்படுத்தலுக்கு வழிவகுக்கும்

Netatalk இல், AppleTalk மற்றும் Apple Filing Protocol (AFP) நெட்வொர்க் புரோட்டோகால்களை செயல்படுத்தும் சேவையகம், சிறப்பாக வடிவமைக்கப்பட்ட பாக்கெட்டுகளை அனுப்புவதன் மூலம் ரூட் உரிமைகளுடன் உங்கள் குறியீட்டை செயல்படுத்த உங்களை அனுமதிக்கும் ஆறு தொலைதூரத்தில் பயன்படுத்தக்கூடிய பாதிப்புகள் கண்டறியப்பட்டுள்ளன. ஆப்பிள் கணினிகளில் இருந்து கோப்பு பகிர்வு மற்றும் அச்சுப்பொறிகளுக்கான அணுகலை வழங்க பல சேமிப்பக சாதனங்களின் (NAS) உற்பத்தியாளர்களால் Netatalk பயன்படுத்தப்படுகிறது, எடுத்துக்காட்டாக, இது மேற்கத்திய டிஜிட்டல் சாதனங்களில் பயன்படுத்தப்பட்டது (WD firmware இலிருந்து Netatalk ஐ அகற்றுவதன் மூலம் சிக்கல் தீர்க்கப்பட்டது). Netatalk ஆனது OpenWRT (OpenWrt 22.03 இல் இருந்து நீக்கப்பட்டது), Debian, Ubuntu, SUSE, Fedora மற்றும் FreeBSD உட்பட பல விநியோகங்களில் சேர்க்கப்பட்டுள்ளது, ஆனால் முன்னிருப்பாகப் பயன்படுத்தப்படவில்லை. Netatalk 3.1.13 வெளியீட்டில் சிக்கல்கள் தீர்க்கப்பட்டுள்ளன.

அடையாளம் காணப்பட்ட சிக்கல்கள்:

  • CVE-2022-0194 – ad_addcomment() செயல்பாடு, நிலையான இடையகத்திற்கு நகலெடுக்கும் முன் வெளிப்புறத் தரவின் அளவைச் சரியாகச் சரிபார்க்காது. இந்த பாதிப்பு, அங்கீகரிக்கப்படாத ரிமோட் அட்டாக்கரை ரூட் சலுகைகளுடன் தங்கள் குறியீட்டை இயக்க அனுமதிக்கிறது.
  • CVE-2022-23121 – AppleDouble உள்ளீடுகளை பாகுபடுத்தும் போது ஏற்படும் parse_entries() செயல்பாட்டில் தவறான பிழை கையாளுதல். இந்த பாதிப்பு, அங்கீகரிக்கப்படாத ரிமோட் அட்டாக்கரை ரூட் சலுகைகளுடன் தங்கள் குறியீட்டை இயக்க அனுமதிக்கிறது.
  • CVE-2022-23122 – setfilparams() செயல்பாடு வெளிப்புறத் தரவை ஒரு நிலையான இடையகத்திற்கு நகலெடுக்கும் முன் அதன் அளவைச் சரியாகச் சரிபார்க்காது. இந்த பாதிப்பு, அங்கீகரிக்கப்படாத ரிமோட் அட்டாக்கரை ரூட் சலுகைகளுடன் தங்கள் குறியீட்டை இயக்க அனுமதிக்கிறது.
  • CVE-2022-23124 get_finderinfo() முறையில் சரியான உள்ளீடு சரிபார்ப்பு இல்லாமை, இதன் விளைவாக ஒதுக்கப்பட்ட இடையகத்திற்கு வெளியே உள்ள பகுதியிலிருந்து படிக்கப்பட்டது. இந்த பாதிப்பு, அங்கீகரிக்கப்படாத ரிமோட் தாக்குபவரை செயல்முறை நினைவகத்தில் இருந்து தகவல்களை கசிய அனுமதிக்கிறது. பிற பாதிப்புகளுடன் இணைந்தால், ரூட் சலுகைகளுடன் குறியீட்டை இயக்கவும் குறைபாடு பயன்படுத்தப்படலாம்.
  • CVE-2022-23125 தரவை நிலையான இடையகத்திற்கு நகலெடுக்கும் முன் copyapplfile() செயல்பாட்டில் "len" உறுப்பைப் பாகுபடுத்தும் போது அளவு சரிபார்ப்பு இல்லை. இந்த பாதிப்பு, அங்கீகரிக்கப்படாத ரிமோட் அட்டாக்கரை ரூட் சலுகைகளுடன் தங்கள் குறியீட்டை இயக்க அனுமதிக்கிறது.
  • CVE-2022-23123 - getdirparams() முறையில் வெளிச்செல்லும் சரிபார்ப்பு இல்லாமை, ஒதுக்கப்பட்ட இடையகத்திற்கு வெளியே உள்ள ஒரு பகுதியிலிருந்து படிக்கப்படுவதன் விளைவாக. இந்த பாதிப்பு, அங்கீகரிக்கப்படாத ரிமோட் தாக்குபவரை செயல்முறை நினைவகத்தில் இருந்து தகவல்களை கசிய அனுமதிக்கிறது.

ஆதாரம்: opennet.ru

கருத்தைச் சேர்