FreeBSD திட்டத்தால் உருவாக்கப்பட்ட சிறை அமைப்பில் இரண்டு பாதிப்புகள் அடையாளம் காணப்பட்டுள்ளன:
- CVE-2020-25582 என்பது jail_attach அமைப்பு அழைப்பை செயல்படுத்துவதில் ஒரு பாதிப்பு ஆகும், இது ஏற்கனவே உள்ள சிறைகளுடன் வெளிப்புற செயல்முறைகளை இணைக்க வடிவமைக்கப்பட்டுள்ளது. jexec அல்லது killall கட்டளைகளைப் பயன்படுத்தி jail_attach ஐ அழைக்கும்போது இந்த சிக்கல் வெளிப்படுகிறது, மேலும் சிறைக்குள் தனிமைப்படுத்தப்பட்ட ஒரு சலுகை பெற்ற செயல்முறை, அதன் ரூட் கோப்பகத்தை மாற்றவும், கணினியில் உள்ள அனைத்து கோப்புகள் மற்றும் கோப்பகங்களுக்கான முழு அணுகலைப் பெறவும் அனுமதிக்கிறது.
- CVE-2020-25581 - jail_remove சிஸ்டம் அழைப்பைப் பயன்படுத்தி செயல்முறைகளை அகற்றும்போது ஒரு ரேஸ் நிபந்தனை, சிறைச்சாலைக்குள் இயங்கும் ஒரு சலுகை பெற்ற செயல்முறை, சிறைச்சாலை முடிவடையும் போது அகற்றப்படுவதைத் தவிர்க்கவும், பின்னர் அதே ரூட் கோப்பகத்துடன் சிறை தொடங்கப்படும்போது devfs வழியாக கணினியை முழுமையாக அணுகவும் அனுமதிக்கிறது. devfs ஏற்கனவே சிறைச்சாலைக்கு ஏற்றப்பட்டுள்ளது, ஆனால் தனிமைப்படுத்தல் விதிகள் இன்னும் பயன்படுத்தப்படவில்லை என்ற உண்மையைப் பயன்படுத்திக் கொள்கிறது.
கூடுதலாக, pam_login_access PAM தொகுதியில் ஒரு பாதிப்பு (CVE-2020-25580) உள்ளது, இது login_access கோப்பை செயலாக்குகிறது, இது கணினி உள்நுழைவின் போது பயன்படுத்தப்படும் பயனர் மற்றும் குழு அணுகல் விதிகளை வரையறுக்கிறது (இயல்புநிலையாக, கன்சோல், sshd மற்றும் telnetd வழியாக உள்நுழைவது அனுமதிக்கப்படுகிறது). இந்த பாதிப்பு login_access கட்டுப்பாடுகளைத் தவிர்த்து, மறுக்கும் விதிகள் இருந்தபோதிலும் உள்நுழைய அனுமதிக்கிறது.
13.0-STABLE, 12.2-STABLE, மற்றும் 11.4-STABLE கிளைகளிலும், FreeBSD 12.2-RELEASE-p4 மற்றும் 11.4-RELEASE-p8 இணைப்புகளிலும் பாதிப்புகள் சரி செய்யப்பட்டுள்ளன.
ஆதாரம்: opennet.ru
