ProHoster > Блог > ayelujara iroyin > PixieFAIL - awọn ailagbara ninu akopọ nẹtiwọọki famuwia UEFI ti a lo fun bata PXE

PixieFAIL - awọn ailagbara ninu akopọ nẹtiwọọki famuwia UEFI ti a lo fun bata PXE

Awọn ailagbara mẹsan ni a ti ṣe idanimọ ni famuwia UEFI ti o da lori pẹpẹ ṣiṣi TianoCore EDK2, ti a lo nigbagbogbo lori awọn eto olupin, ti a fun ni orukọ PixieFAIL lapapọ. Awọn ailagbara wa ninu akopọ famuwia nẹtiwọọki ti a lo lati ṣeto bata nẹtiwọọki (PXE). Awọn ailagbara ti o lewu julọ gba ikọlu ti ko ni ifọwọsi lati ṣiṣẹ koodu latọna jijin ni ipele famuwia lori awọn eto ti o gba laaye PXE booting lori nẹtiwọọki IPv9 kan.

Awọn iṣoro ti o nira ti o kere ju ja si kiko iṣẹ (idinamọ bata), jijo alaye, majele kaṣe DNS, ati jija igba TCP. Pupọ awọn ailagbara le ṣee lo lati inu nẹtiwọki agbegbe, ṣugbọn diẹ ninu awọn ailagbara tun le kọlu lati nẹtiwọọki ita. Oju iṣẹlẹ ikọlu aṣoju kan ṣan silẹ lati ṣe abojuto ijabọ lori nẹtiwọọki agbegbe ati fifiranṣẹ awọn apo-iwe ti a ṣe apẹrẹ pataki nigbati iṣẹ ṣiṣe ti o ni ibatan si booting eto nipasẹ PXE ti rii. Iwọle si olupin igbasilẹ tabi olupin DHCP ko nilo. Lati ṣe afihan ilana ikọlu, a ti gbejade awọn iṣamulo apẹrẹ.

Famuwia UEFI ti o da lori ipilẹ TianoCore EDK2 ni a lo ni ọpọlọpọ awọn ile-iṣẹ nla, awọn olupese awọsanma, awọn ile-iṣẹ data ati awọn iṣupọ iširo. Ni pato, awọn ipalara NetworkPkg module pẹlu imuse bata PXE ni a lo ni famuwia ti o ni idagbasoke nipasẹ ARM, Insyde Software (Insyde H20 UEFI BIOS), American Megatrends (AMI Apio OpenEdition), Phoenix Technologies (SecureCore), Intel, Dell ati Microsoft (Project Mu). ). Awọn ailagbara naa tun gbagbọ lati ni ipa lori pẹpẹ ChromeOS, eyiti o ni package EDK2 ninu ibi ipamọ, ṣugbọn Google sọ pe package yii ko lo ninu famuwia fun Chromebooks ati pe Syeed ChromeOS ko ni ipa nipasẹ iṣoro naa.

Awọn ailagbara ti idanimọ:

  • CVE-2023-45230 - Aponsedanu ifipamọ ninu koodu alabara DHCPv6, ti nilokulo nipasẹ gbigbe ID olupin gun ju (aṣayan ID olupin).
  • CVE-2023-45234 - Aponsedanu ifipamọ waye nigbati ṣiṣe aṣayan kan pẹlu awọn aye olupin DNS ti o kọja ninu ifiranṣẹ ti n kede niwaju olupin DHCPv6 kan.
  • CVE-2023-45235 - Ṣafikun ṣiṣan nigba ṣiṣe aṣayan ID olupin ni awọn ifiranṣẹ ikede aṣoju DHCPv6.
  • CVE-2023-45229 jẹ ẹya odidi underflow ti o waye nigba ti processing ti IA_NA/IA_TA awọn aṣayan ni DHCPv6 awọn ifiranṣẹ ipolongo a DHCP server.
  • CVE-2023-45231 Jijo data jade-ti-buffer waye nigbati ṣiṣe awọn ifiranṣẹ ND Redirect (Awari Aládùúgbò) pẹlu awọn iye aṣayan ege.
  • CVE-2023-45232 Lupu ailopin waye nigbati o ba n ṣe itupalẹ awọn aṣayan aimọ ni akọsori Awọn aṣayan Ilọsiwaju.
  • CVE-2023-45233 Lupu ailopin waye nigbati o ba n ṣe itupalẹ aṣayan PadN ninu akọsori apo.
  • CVE-2023-45236 - Lilo awọn irugbin lẹsẹsẹ TCP ti a le sọ tẹlẹ lati gba wedging asopọ TCP laaye.
  • CVE-2023-45237 – Lilo olupilẹṣẹ nọmba apseudo-ID ti ko ni igbẹkẹle ti o ṣe awọn iye asọtẹlẹ.

Awọn ailagbara naa ni a fi silẹ si CERT/CC ni Oṣu Kẹjọ Ọjọ 3, Ọdun 2023, ati pe ọjọ ifihan ti ṣeto fun Oṣu kọkanla ọjọ 2. Bibẹẹkọ, nitori iwulo fun itusilẹ alemo isọdọkan kọja awọn olutaja lọpọlọpọ, ọjọ itusilẹ ni akọkọ titari pada si Oṣu kejila ọjọ 1st, lẹhinna titari pada si Oṣu kejila ọjọ 12th ati Oṣu kejila ọjọ 19th, 2023, ṣugbọn o ti ṣafihan nikẹhin ni Oṣu Kini Ọjọ 16th, 2024. Ni akoko kanna, Microsoft beere lati sun atẹjade alaye siwaju titi di May.

orisun: opennet.ru

Fi ọrọìwòye kun