OpenZFS میں کمزوری جو FreeBSD میں رسائی کے حقوق کو توڑ دیتی ہے۔

В شامل کیا в OpenZFS FreeBSD OS کو سپورٹ کرنے کے لیے کوڈ کی شناخت اہم کے طور پر کی گئی ہے۔ کمزوری (CVE-2020-24717)، رسائی کے حقوق کی کارروائی کی خلاف ورزی کا باعث بنتا ہے۔ مسئلہ کی بنیادی بات یہ ہے کہ گروپ کے لیے سیٹ کردہ حقوق کو فائل کے مالک کے حقوق کے طور پر سمجھا جاتا تھا۔ مسئلہ ختم کر دیا اپ ڈیٹ میں OpenZFS 2.0.0-rc1. تصحیح متعارف کرایا پر ترجمہ اوپن زیڈ ایف ایس پر فری بی ایس ڈی ہیڈ کوڈ بیس۔

یہ مسئلہ گروپ کے مالک (group@) کے لیے سیٹ کردہ تمام رسائی کنٹرول لسٹ عناصر (ACEs) اور ریگولر گروپس (گروپ:<name>) کو موجودہ صارف کے حوالے کیے جانے کی وجہ سے پیدا ہوا۔
مثال کے طور پر، رسائی موڈ 0770 (صرف گروپ کے ممبروں کو لکھنے کی اجازت ہے) کے ساتھ 0777 (تمام صارفین کو لکھنے کی اجازت ہے) سمجھا جاتا ہے۔ ایسی ہی صورت حال ACLs کے ساتھ دیکھی گئی، مثال کے طور پر، ذیل میں ACL حقوق 0777 کے مساوی ہو گیا، کیونکہ گروپ ممبر نے بلٹ ان_ایڈمنسٹریٹرز کے لیے چیک کیا ہے درست۔

# مالک: جڑ
# گروپ: وہیل
group:builtin_administrators:rwxpDdaARWcCos:——-:allow

فری بی ایس ڈی کے لیے اوپن زیڈ ایف ایس پورٹ میں بھی، ڈائرکٹری (سی ڈی) کے حقوق دینے کے ساتھ ایک اور مسئلہ کی نشاندہی کی گئی تھی، قطع نظر اس کے کہ ڈائریکٹریز کے لیے ایکزیکیوٹ رائٹس فلیگ کی حالت کچھ بھی ہو۔ ڈائریکٹری میں داخلہ ممکن تھا، بشمول ACL کے ذریعے ایک واضح ممانعت ("انکار - عمل درآمد")

ماخذ: opennet.ru