புரோஹோஸ்டர் > Блог > இணைய செய்தி > VS கோட், கிராஃபானா, குனு இமாக்ஸ் மற்றும் அப்பாச்சி ஃபைனராக்ட் ஆகியவற்றில் உள்ள பாதிப்புகள்

VS கோட், கிராஃபானா, குனு இமாக்ஸ் மற்றும் அப்பாச்சி ஃபைனராக்ட் ஆகியவற்றில் உள்ள பாதிப்புகள்

சமீபத்தில் கண்டறியப்பட்ட பல பாதிப்புகள்:

  • விஷுவல் ஸ்டுடியோ குறியீட்டில் (VS குறியீடு) ஒரு முக்கியமான பாதிப்பு (CVE-2022-41034) கண்டறியப்பட்டுள்ளது, இது தாக்குபவர் தயாரித்த இணைப்பைப் பயனர் திறக்கும்போது குறியீட்டை செயல்படுத்த அனுமதிக்கிறது. குறியீட்டை VS குறியீடு இயந்திரத்தில் அல்லது தொலைநிலை மேம்பாட்டு அம்சத்தைப் பயன்படுத்தி VS குறியீட்டுடன் இணைக்கப்பட்ட வேறு எந்த இயந்திரத்திலும் செயல்படுத்தலாம். GitHub Codespaces மற்றும் github.dev உள்ளிட்ட VS குறியீட்டின் இணையப் பதிப்பைப் பயன்படுத்துபவர்களுக்கும் அதன் அடிப்படையிலான இணைய எடிட்டர்களுக்கும் இந்தப் பிரச்சனை மிகப்பெரிய ஆபத்தை ஏற்படுத்துகிறது.

    ஜிபிட்டர் நோட்புக் வடிவத்தில் சிறப்பாக வடிவமைக்கப்பட்ட ஆவணங்களை எடிட்டரில் செயலாக்கும் போது, ​​டெர்மினலுடன் ஒரு சாளரத்தைத் திறந்து அதில் தன்னிச்சையான ஷெல் கட்டளைகளை இயக்க “கட்டளை:” சேவை இணைப்புகளைச் செயலாக்கும் திறனால் பாதிப்பு ஏற்படுகிறது. தாக்குபவர் மூலம் (கூடுதல் உறுதிப்படுத்தல்கள் இல்லாமல் " .ipynb" நீட்டிப்புடன் கூடிய வெளிப்புற கோப்புகள் "isTrusted" பயன்முறையில் திறக்கப்படுகின்றன, இது "கட்டளை:" செயலாக்கத்தை அனுமதிக்கிறது).

  • குனு ஈமாக்ஸ் உரை திருத்தியில் (CVE-2022-45939) ஒரு பாதிப்பு அடையாளம் காணப்பட்டுள்ளது, இது ctags கருவித்தொகுப்பைப் பயன்படுத்தி செயலாக்கப்பட்ட பெயரில் உள்ள சிறப்பு எழுத்துகளை மாற்றுவதன் மூலம், குறியீட்டுடன் கோப்பைத் திறக்கும்போது கட்டளைகளை செயல்படுத்துவதை அனுமதிக்கிறது.
  • கிராஃபானா ஓப்பன் சோர்ஸ் டேட்டா காட்சிப்படுத்தல் தளத்தில் ஒரு பாதிப்பு (CVE-2022-31097) கண்டறியப்பட்டுள்ளது, இது கிராஃபானா அலர்ட்டிங் சிஸ்டம் மூலம் அறிவிப்பு காட்டப்படும்போது ஜாவாஸ்கிரிப்ட் குறியீட்டை இயக்க அனுமதிக்கும். எடிட்டர் உரிமைகளைக் கொண்ட தாக்குபவர், சிறப்பாக வடிவமைக்கப்பட்ட இணைப்பைத் தயார் செய்து, நிர்வாகி இந்த இணைப்பைக் கிளிக் செய்தால், நிர்வாகி உரிமைகளுடன் கிராஃபானா இடைமுகத்திற்கான அணுகலைப் பெறலாம். கிராஃபானா 9.2.7, 9.3.0, 9.0.3, 8.5.9, 8.4.10 மற்றும் 8.3.10 வெளியீடுகளில் பாதிப்பு சரி செய்யப்பட்டது.
  • ப்ரோமிதியஸுக்கு அளவீடுகள் ஏற்றுமதியாளர்களை உருவாக்கப் பயன்படுத்தப்படும் ஏற்றுமதியாளர்-கருவித்தொகுப்பு நூலகத்தில் பாதிப்பு (CVE-2022-46146). சிக்கல் அடிப்படை அங்கீகாரத்தைத் தவிர்க்க உங்களை அனுமதிக்கிறது.
  • அப்பாச்சி ஃபைனராக்ட் நிதிச் சேவைகள் தளத்தில் பாதிப்பு (CVE-2022-44635), இது அங்கீகரிக்கப்படாத பயனரை ரிமோட் குறியீடு செயல்படுத்தலை அடைய அனுமதிக்கிறது. கோப்புகளை ஏற்றுவதற்கான கூறுகளால் செயலாக்கப்பட்ட பாதைகளில் உள்ள ".." எழுத்துகள் சரியான முறையில் தப்பிக்காததால் சிக்கல் ஏற்படுகிறது. அப்பாச்சி ஃபைனராக்ட் 1.7.1 மற்றும் 1.8.1 வெளியீடுகளில் பாதிப்பு சரி செய்யப்பட்டது.
  • Apache Tapestry Java கட்டமைப்பில் உள்ள ஒரு பாதிப்பு (CVE-2022-46366), இது பிரத்தியேகமாக வடிவமைக்கப்பட்ட தரவு சீரழிக்கப்பட்ட போது தனிப்பயன் குறியீட்டை செயல்படுத்த அனுமதிக்கிறது. Apache Tapestry 3.x இன் பழைய கிளையில் மட்டுமே சிக்கல் தோன்றுகிறது, இது இனி ஆதரிக்கப்படாது.
  • ஹைவ் (CVE-2022-41131), Pinot (CVE-2022-38649), Pig (CVE-2022-40189) மற்றும் Spark (CVE-2022-40954) ஆகியவற்றுக்கான Apache Airflow வழங்குநர்களில் உள்ள பாதிப்புகள், ரிமோட் கோடரி எக்ஸ்ட்ராக்ட் மூலம் ரிமோட் கோடரி கட்யூட்டுக்கு வழிவகுக்கும். DAG கோப்புகளுக்கு எழுதும் அணுகல் இல்லாமல் வேலை செயல்படுத்தும் சூழலில் கோப்புகள் அல்லது கட்டளை மாற்றீடு.

ஆதாரம்: opennet.ru

கருத்தைச் சேர்