ื ืกืขืจืืข ืคืื โโืืืึทืื ืขืจืึทืืืืืืื ืืขื ืขื ืืืืขื ืึทืคืืื ืืื swhkd (Simple Wayland HotKey Daemon) ืืขืคึฟืืจื ืืืจื ืคืึทืืฉ ืึทืจืืขื ืืื ืฆืืึทืืืืืึทืืืง ืืขืงืขืก, ืืึทืคึฟืขืื ืฉืืจื ืคึผืึทืจืึทืืขืืขืจืก ืืื ืืื ืืงืก ืกืึทืงืึทืฅ. ืืขืจ ืคึผืจืึธืืจืึทื ืืื ืืขืฉืจืืื ืืื ืจืืกื ืืื ืืึทื ืืึทืื ืืึธืืงืื ืืจืื ืืืขื ืืื ืื ืืืืืจืึทื ืืึทื ืฅ ืืืืืจื ืืืืฃ ืื Wayland ืคึผืจืึธืืึธืงืึธื (ืึท ืงืึทื ืคืืืืขืจืืืฉืึทื-ืืขืงืข-ืงืึทืืคึผืึทืืึทืืึทื ืึทื ืึทืืึธื ืคืื ืื sxhkd ืคึผืจืึธืฆืขืก ืืขื ืืฆื ืืื X11-ืืืืืจื ืื ืืืืืจืึทื ืืึทื ืฅ).
ืืขืจ ืคึผืขืงื ืื ืงืืืื ืึทื ืึทื ืคึผืจืืืืืืึทืืืฉื ืกืืืงื ืคึผืจืึธืฆืขืก ืืืึธืก ืคึผืขืจืคืึธืจืื ืืึธืืงืื ืึทืงืฉืึทื ื, ืืื ืึท ืืื ืืขืจืืจืื ื ืกืืืืงื ืคึผืจืึธืฆืขืก ืืืึธืก ืืืืคื ืืื ืืืึธืจืฆื ืืื ืื ืืขืจืึทืงืฅ ืืื ืึทืจืืึทื ืฉืจืืึทื ืืขืืืืกืขืก ืืืืฃ ืื ืืื ืคึผืื ืึทืคึผื ืืืจืื. ื ืืื ืืงืก ืืึธืืขื ืืื ืืขื ืืฆื ืฆื ืึธืจืืึทื ืืืืจื ืื ืื ืืขืจืึทืงืฉืึทื ืฆืืืืฉื swhks ืืื swhkd. ื ืืฆื Polkit ืึผืืืื, ืงืืื ืืืืข ืืึทื ืืฆืขืจ ืงืขื ืขื ืืืืคื ืื /usr/bin/swhkd ืคึผืจืึธืฆืขืก ืืื ืืืึธืจืฆื ืืื ืคืึธืจื ืึทืจืืืืจืึทืจืืฉ ืคึผืึทืจืึทืืขืืขืจืก ืฆื ืขืก.
ืืืืขื ืึทืคืืื ืืืึทืื ืขืจืึทืืืืืืื:
- CVE-2022-27815 - ืฉืคึผืึธืจื ืึท ืคึผืจืึธืฆืขืก PID ืฆื ืึท ืืขืงืข ืืื ืึท ืคึผืจืืืืงืืึทืืึทื ื ืึธืืขื ืืื ืืื ืึท ืืืขืืืืืึทืืขืจ ืืืึธืก ืืื ืจืืืืึทืืึทื ืืืจื ืื ืืขืจืข ืืืืขืจื (/tmp/swhkd.pid). ืืขืืขืจ ืืึทื ืืฆืขืจ ืงืขื ืขื ืืึทืื ืึท ืืขืงืข /tmp/swhkd.pid ืืื ืฉืืขืื ืื ืคึผืื ืคืื ืึท ืืืืืกืืื ื ืคึผืจืึธืฆืขืก ืืื ืขืก, ืืืึธืก ืืืขื ืืึทืื swhkd ื ืืฉื ืงืขื ืขื ืฆื ืึธื ืืืืื. ืืืื ืขืก ืืื ืงืืื ืฉืืฅ ืงืขืื ืฉืืคื ืกืืืืึธืืืฉ ืคึฟืึทืจืืื ืืื ืืขื ืืื / tmp, ืื ืืืึทืื ืขืจืึทืืืืืื ืงืขื ืขื ืืืขืจื ืืขื ืืฆื ืฆื ืฉืึทืคึฟื ืึธืืขืจ ืึธืืืืขืจืจืืื ืืขืงืขืก ืืื ืงืืื ืกืืกืืขื ืืืขืืืืืึทืืขืจ (ืื PID ืืื ืืขืฉืจืืื ืฆื ืืขืจ ืืขืงืข) ืึธืืขืจ ืืึทืฉืืืืขื ืื ืืื ืืึทืื ืคืื ืงืืื ืืขืงืข ืืืืฃ ืื ืกืืกืืขื (swhkd ืคึผืจืื ืฅ ืื ืืขืงืข) ืืึทื ืฅ ืืื ืืึทืื ืคืื ืื PID ืืขืงืข ืฆื ืกืืืึธืื). ืขืก ืืื ื ืึธืืืืืขืจืื ืึทื ืืื ืื ืจืขืืขืึทืกืขื ืคืึทืจืจืืืื ืื PID ืืขืงืข ืืื ืืจืืืขืจืืขืคืืจื ื ืืฉื ืฆื ืื /run ืืืขืืืืืึทืืขืจ, ืึธืืขืจ ืฆื ืื /etc ืืืขืืืืืึทืืขืจ (/etc/swhkd/runtime/swhkd_{uid}.pid), ืืื ืขืก ืืืื ืืขืืขืจื ื ืืฉื.
- CVE-2022-27814 - ืืืจื ืืึทื ืืคึผืืึทืืืืืื ื ืื "-C" ืืึทืคึฟืขืื ืฉืืจื ืึธืคึผืฆืืข ืืขื ืืฆื ืฆื ืกืคึผืขืฆืืคืืฆืืจื ืึท ืงืึทื ืคืืืืขืจืืืฉืึทื ืืขืงืข, ืขืก ืืื ืืขืืืขื ืฆื ืืึทืฉืืืืขื ืื ืขืงืืืกืืขื ืฅ ืคืื ืงืืื ืืขืงืข ืืืืฃ ืื ืกืืกืืขื. ืคึฟืึทืจ ืืืึทืฉืคึผืื, ืฆื ืงืึธื ืืจืึธืืืจื /root/.somefile ืืืจ ืงืขื ืขื ืืืืคื "pkexec /usr/bin/swhkd -d -c /root/.somefile" ืืื ืืืื ืื ืืขืงืข ืืื ืคืขืื ืืืง, ืืขืจ ืืขืืช "/root/.somefile ืงืขื ื ืืฉื ืขืงืกืืกืืืจื. " ืืืขื ืืืื ืืขืืืืื. ืืื ืืื ืืขื ืคืึทื ืคืื ืืขืจ ืขืจืฉืืขืจ ืืืึทืื ืขืจืึทืืืืืื, ืคืืงืกืืจ ืื ืคึผืจืึธืืืขื ืืื ืคึผืึทืืืื ื - ืคืืงืกืืจ ืื ืคึผืจืึธืืืขื ืืืืื ืึทืจืึธืคึผ ืฆื ืืขื ืคืึทืงื ืึทื ืื ืคืื ืืจืืืกื ืืืง ื ืืฆื "ืงืึทืฅ" ('Command::new(โ/bin/catโ)).arg(path) ืืื ืืืฆื ืืึธื ืืฉื ืฆื ืืืืขื ืขื ืื ืงืึทื ืคืืืืขืจืืืฉืึทื ืืขืงืข. output ()').
- CVE-2022-27819 - ืื ืึทืจืืืกืืขืื ืืื ืืืื ืฉืืึทืืืช ืฆื ืื ื ืืฆื ืคืื ืื "-c" ืึธืคึผืฆืืข, ืืืึธืก ื ืื ืืื ืฆืข ืงืึทื ืคืืืืขืจืืืฉืึทื ืืขืงืข ืฆื ืืืื ืืึธืืืื ืืื ืคึผืึทืจืกืขื ืึธื ืงืึธื ืืจืึธืืืจื ืื ืืจืืืก ืืื ืืืคึผ ืคืื ืืขืจ ืืขืงืข. ืฆืื ืืืืฉืคึผืื, ืฆื ืคืึทืจืฉืึทืคื ืึท ืึธืคึผืืืืงืขื ืื ื ืคืื ืืื ืกื ืืืจื ืคืืืกื ืืืง ืืืืก ืคืื ืคืจืื ืืึผืจืื ืืื ืงืจืืืืืื ื ืคืึทืืฉ I/O, ืืืจ ืงืขื ืขื ืกืคึผืขืฆืืคืืฆืืจื ืึท ืืืึธืง ืืืื ืืื ืกืืึทืจืืึทืคึผ ("pkexec /usr/bin/swhkd -d -c /dev/sda") ืึธืืขืจ ืึท ืืึทืจืึทืงืืขืจ ืืืื ืืืึธืก ืืจืืื ืึท ืื ืคืึทื ืึทื ืืืึทื ืคืื ืืึทืื. ืืขืจ ืคึผืจืึธืืืขื ืืื ืกืึทืืืื ืืืจื ืืึทืฉืืขืืืง ืื ืคึผืจืืืืืืึทืืืฉืึทื ืืืืืขืจ ืขืคื ืื ืืขืงืข, ืึธืืขืจ ืื ืคืึทืจืจืืืื ืืื ื ืืฉื ืืึทื ืฅ, ืืืืึทื ืืืืื ืื ืืึทื ืืฆืขืจ ืฉืืึทื (UID) ืืื ืืึทืฉืืขืืืง, ืึธืืขืจ ืื ืืจืืคึผืข ืฉืืึทื (GID) ืืืืืื ืื ืืขืืืข.
- CVE-2022-27818 - ื ืืื ืืงืก ืืึธืืขื ืืื ืืืฉืืคื ืืื ืื / tmp/swhkd.sock ืืขืงืข ืืืฉืืคื ืืื ืึท ืจืืืืึทืืึทื ืืืขืืืืืึทืืขืจ, ืืืึธืก ืคืืจื ืฆื ืขื ืืขื ืืฉืื ืืื ืืขืจ ืขืจืฉืืขืจ ืืืึทืื ืขืจืึทืืืืืื (ืืขืืขืจ ืืึทื ืืฆืขืจ ืงืขื ืขื ืฉืึทืคึฟื / tmp/swhkd.sock ืืื ืืืฉืขื ืขืจืืื ืึธืืขืจ ืื ืืขืจืกืขืคึผื ืงืืืคึผืจืขืกืก ืืขืฉืขืขื ืืฉื).
- CVE-2022-27817 - ืึทืจืืึทื ืฉืจืืึทื ืืขืฉืขืขื ืืฉื ืืขื ืขื ืื ืืขื ืืืขื ืคืื ืึทืืข ืืขืืืืกืขืก ืืื ืืื ืึทืืข ืกืขืฉืึทื ื, ื.ื. ืึท ืืึทื ืืฆืขืจ ืคืื ืื ืื ืืขืจ Wayland ืกืขืกืืข ืึธืืขืจ ืคึฟืื ืื ืงืึทื ืกืึธืื ืงืขื ืขื ืื ืืขืจืกืขืคึผื ืืขืฉืขืขื ืืฉื ืืืขื ืืึธืืงืืืก ืืขื ืขื ืืขืืจืืงื ืืืจื ืื ืืขืจืข ืืืืขืจื.
- CVE-2022-27816 ืืขืจ swhks ืคึผืจืึธืฆืขืก, ืืื swhkd, ื ืืฆื ืื PID ืืขืงืข /tmp/swhks.pid ืืื ืื ืจืืืืึทืืึทื / tmp ืืืขืืืืืึทืืขืจ. ืืขืจ ืคึผืจืึธืืืขื ืืื ืขื ืืขื ืฆื ืืขืจ ืขืจืฉืืขืจ ืืืึทืื ืขืจืึทืืืืืื, ืึธืืขืจ ืืื ื ืืฉื ืืื ืืขืคืขืจืืขื ืืืืึทื swhks ืืื ืคืืืกื ืืืง ืืื ืืขืจ ืึท ืึทื ืคึผืจืืืืืืึทืืืฉื ืืึทื ืืฆืขืจ.
ืืงืืจ: opennet.ru