சாம்பா 4.17.3, 4.16.7 மற்றும் 4.15.12 இன் திருத்த வெளியீடுகள் கெர்பரோஸ் லைப்ரரிகளில் உள்ள பாதிப்பை (CVE-2022-42898) நீக்கி வெளியிடப்பட்டது, இது PAC ஐச் செயலாக்கும் போது ஒரு முழு எண் நிரம்பி வழிகிறது மற்றும் தரவை வரம்பிற்கு வெளியே எழுதுகிறது. அங்கீகரிக்கப்பட்ட பயனரால் அனுப்பப்பட்ட (பிரிவிலேஜ்ட் அட்ரிபியூட் சான்றிதழ்) அளவுருக்கள். விநியோகங்களில் தொகுப்பு புதுப்பிப்புகளின் வெளியீடுகளை பக்கங்களில் கண்காணிக்கலாம்: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD.
சம்பாவைத் தவிர, எம்ஐடி கெர்பரோஸ் மற்றும் ஹெய்ம்டால் கெர்பரோஸ் ஆகிய பேக்கேஜ்களிலும் சிக்கல் தோன்றும். சம்பா திட்டத்தின் பாதிப்பு அறிக்கை அச்சுறுத்தலை விவரிக்கவில்லை, ஆனால் எம்ஐடி கெர்பரோஸ் அறிக்கை, பாதிப்பு தொலைநிலை குறியீடு செயல்படுத்தலுக்கு வழிவகுக்கும் என்று கூறுகிறது. பாதிப்பை சுரண்டுவது 32-பிட் கணினிகளில் மட்டுமே சாத்தியமாகும்.
சிக்கல் KDC (முக்கிய விநியோக மையம்) அல்லது kadmind உடன் உள்ளமைவுகளைப் பாதிக்கிறது. ஆக்டிவ் டைரக்டரி இல்லாத உள்ளமைவுகளில், கெர்பரோஸைப் பயன்படுத்தும் சாம்பா கோப்பு சேவையகங்களிலும் பாதிப்பு தோன்றும். krb5_parse_pac() செயல்பாட்டில் உள்ள பிழையால் சிக்கல் ஏற்பட்டது, இதன் காரணமாக PAC புலங்களைப் பாகுபடுத்தும் போது பயன்படுத்தப்படும் இடையகத்தின் அளவு தவறாகக் கணக்கிடப்பட்டது. 32-பிட் கணினிகளில், பிரத்யேகமாக வடிவமைக்கப்பட்ட பிஏசிகளை செயலாக்கும் போது, ஒதுக்கப்பட்ட இடையகத்திற்கு வெளியே தாக்குபவர் அனுப்பிய 16-பைட் பிளாக் வைப்பதற்கு ஒரு பிழை வழிவகுக்கும்.
ஆதாரம்: opennet.ru