Ailagbara to ṣe pataki (CVE-2023-27482) ti jẹ idanimọ ni ile-iṣẹ adaṣe adaṣe ile ti o ṣii Oluranlọwọ Ile, eyiti o fun ọ laaye lati fori ijẹrisi ati ni iraye ni kikun si API Alabojuto ti o ni anfani, nipasẹ eyiti o le yi awọn eto pada, fi sii / imudojuiwọn sọfitiwia, ṣakoso awọn afikun ati awọn afẹyinti.
Iṣoro naa kan awọn fifi sori ẹrọ ti o lo paati Alabojuto ati pe o ti farahan lati awọn idasilẹ akọkọ rẹ (lati ọdun 2017). Fun apẹẹrẹ, ailagbara naa wa ninu OS Iranlọwọ Ile ati awọn agbegbe Abojuto Iranlọwọ Iranlọwọ Ile, ṣugbọn ko kan Apoti Iranlọwọ Ile (Docker) ati pẹlu ọwọ ṣẹda awọn agbegbe Python ti o da lori Core Iranlọwọ Ile.
Ailagbara naa wa titi ninu ẹya Alabojuto Iranlọwọ Ile 2023.01.1. Iṣeduro afikun kan wa ninu itusilẹ Iranlọwọ Ile 2023.3.0. Lori awọn eto eyiti ko ṣee ṣe lati fi imudojuiwọn sori ẹrọ lati ṣe idiwọ ailagbara, o le ni ihamọ iraye si ibudo nẹtiwọọki ti iṣẹ wẹẹbu Iranlọwọ Ile lati awọn nẹtiwọọki ita.
Ọna ti ilokulo ailagbara ko tii ṣe alaye (ni ibamu si awọn olupilẹṣẹ, nipa 1/3 ti awọn olumulo ti fi imudojuiwọn naa sori ẹrọ ati pe ọpọlọpọ awọn eto wa jẹ ipalara). Ninu ẹya ti a ṣe atunṣe, labẹ irisi iṣapeye, awọn ayipada ti ṣe si sisẹ awọn ami ati awọn ibeere isunmọ, ati pe a ti ṣafikun awọn asẹ lati ṣe idiwọ iyipada ti awọn ibeere SQL ati fifi sii " » и использования путей с «../» и «/./».
orisun: opennet.ru