ProHoster > Блог > ayelujara iroyin > Ailagbara ninu akopọ IPv6 ti ekuro Linux ti o fun laaye ipaniyan koodu isakoṣo latọna jijin

Ailagbara ninu akopọ IPv6 ti ekuro Linux ti o fun laaye ipaniyan koodu isakoṣo latọna jijin

Alaye ti ṣafihan nipa ailagbara CVE-2023-6200) ninu akopọ nẹtiwọọki ti ekuro Linux, eyiti, labẹ awọn ipo kan, ngbanilaaye ikọlu lati nẹtiwọọki agbegbe kan lati ṣaṣeyọri ipaniyan ti koodu rẹ nipa fifiranṣẹ apo-iwe ICMPv6 apẹrẹ pataki kan pẹlu ifiranṣẹ RA (Ipolowo Olulana) ti a pinnu lati polowo alaye nipa olulana.

Ailagbara naa le ṣee lo lati inu nẹtiwọọki agbegbe nikan ati han lori awọn ọna ṣiṣe pẹlu atilẹyin IPv6 ṣiṣẹ ati paramita sysctl “net.ipv6.conf.<network_interface_name>.accept_ra” lọwọ (le ṣe ayẹwo pẹlu aṣẹ “sysctl net.ipv6.conf | grep accept_ra"), eyiti o jẹ alaabo nipasẹ aiyipada ni RHEL ati Ubuntu fun awọn atọkun nẹtiwọọki ita, ṣugbọn ṣiṣẹ fun wiwo loopback, eyiti o fun laaye ikọlu lati eto kanna.

Ailagbara naa jẹ idi nipasẹ ipo ere-ije kan nigbati oludoti n ṣe ilana awọn igbasilẹ fib6_info stale, eyiti o le ja si iraye si agbegbe iranti ti o ti ni ominira tẹlẹ (lilo-lẹhin-ọfẹ). Nigbati o ba ngba apo ICMPv6 kan pẹlu ifiranṣẹ ipolongo olulana (RA, Ipolowo olulana), akopọ nẹtiwọọki n pe iṣẹ ndisc_router_discovery (), eyiti, ti ifiranṣẹ RA ba ni alaye nipa igbesi aye ipa ọna, pe iṣẹ fib6_set_expires () ati ki o kun gc_link igbekale. Lati nu awọn titẹ sii atijo kuro, lo fib6_clean_expires () iṣẹ, eyi ti o ya awọn titẹsi ni gc_link ati ki o ko awọn iranti lo nipa fib6_info be. Ni ọran yii, akoko kan wa nigbati iranti fun eto fib6_info ti ni ominira tẹlẹ, ṣugbọn ọna asopọ si rẹ tẹsiwaju lati wa ninu eto gc_link.

Ailagbara naa han ti o bẹrẹ lati ẹka 6.6 ati pe o wa titi ni awọn ẹya 6.6.9 ati 6.7. Ipo ti atunṣe ailagbara ni awọn pinpin ni a le ṣe ayẹwo lori awọn oju-iwe wọnyi: Debian, Ubuntu, SUSE, RHEL, Fedora, Arch Linux, Gentoo, Slackware. Lara awọn pinpin ti o gbe awọn idii pẹlu ekuro 6.6, a le ṣe akiyesi Arch Linux, Gentoo, Fedora, Slackware, OpenMandriva ati Manjaro; ni awọn ipinpinpin miiran, o ṣee ṣe pe iyipada pẹlu aṣiṣe kan jẹ pada si awọn idii pẹlu awọn ẹka ekuro agbalagba (fun apẹẹrẹ, ni Debian o mẹnuba pe package pẹlu ekuro 6.5.13 jẹ ipalara, lakoko ti iyipada iṣoro han ni ẹka 6.6). Gẹgẹbi ibi iṣẹ aabo, o le mu IPv6 kuro tabi ṣeto “net.ipv0.conf.*.accept_ra” paramita si 6.

orisun: opennet.ru

Fi ọrọìwòye kun