Nov 20, 2024Ravie LakshmananLinux / Athari Athari za kiusalama za miongo kadhaa zimefichuliwa katika kifurushi cha hitaji la kuanzisha upya kilichosakinishwa kwa chaguomsingi katika Seva ya Ubuntu (tangu toleo la 21.04) ambacho kinaweza kumruhusu mshambulizi wa ndani kupata hakimiliki bila kuhitaji mwingiliano wa mtumiaji. Kitengo cha Utafiti wa Tishio cha Qualys (TRU), ambacho kilibaini na kuripoti dosari hizo mapema mwezi uliopita, kilisema ni kidogo kuzitumia, na hivyo kulazimu watumiaji kuharakisha kurekebisha. Udhaifu unaaminika kuwepo tangu kuanzishwa kwa usaidizi wa mkalimani katika haja ya kuanzisha upya nambari 0.8, ambayo ilitolewa Aprili 27, 2014. “Matumizi haya yanayohitaji kuanza upya yanaruhusu Kuongezeka kwa Upendeleo wa Mitaa (LPE) ambayo ina maana kwamba mshambuliaji wa ndani anaweza kupata mapendeleo ya msingi, ” Ubuntu alisema katika ushauri, akigundua kuwa wameshughulikiwa katika toleo la 3.8. Needrestart ni matumizi ambayo huchanganua mfumo ili kubaini huduma zinazohitaji kuanzishwa upya baada ya kutumia masasisho ya maktaba yaliyoshirikiwa kwa namna ambayo huepuka kuwasha upya mfumo kamili. Makosa matano yameorodheshwa hapa chini – CVE-2024-48990 (alama ya CVSS: 7.8) – Athari inayoruhusu wavamizi wa ndani kutekeleza nambari ya kiholela kama mzizi kwa kudanganya hitaji kuanza tena ili kuendesha mkalimani wa Python na mabadiliko ya mazingira ya PYTHONPATH yanayodhibitiwa na mshambuliajiCVE-2024- 48991 (alama ya CVSS: 7.8) – Udhaifu ambayo huruhusu wavamizi wa eneo lako kutekeleza msimbo kiholela kama mzizi kwa kushinda hali ya mbio na kuwahadaa waanze tena kukimbia wao wenyewe, mkalimani bandia wa PythonCVE-2024-48992 (alama ya CVSS: 7.8) – Uathirikaji unaoruhusu wavamizi wa ndani kutekeleza msimbo kiholela kama mzizi kwa hila haja ya kuanza upya ili kuendesha mkalimani wa Ruby na mazingira ya RUBYLIB yanayodhibitiwa na mshambuliaji variableCVE-2024-11003 (alama ya CVSS: 7.8) na CVE-2024-10224 (alama ya CVSS: 5.3) – Athari mbili zinazomruhusu mshambulizi wa ndani kutekeleza amri za kiholela kama mzizi kwa kuchukua fursa ya tatizo katika libmodule-scandeps- perl kifurushi (kabla ya toleo la 1.36) Unyonyaji uliofanikiwa wa mapungufu yaliyotajwa hapo juu yanaweza kumruhusu mshambulizi wa ndani kuweka vigeu vya mazingira vilivyoundwa mahususi kwa PYTHONPATH au RUBYLIB ambavyo vinaweza kusababisha utekelezaji wa msimbo kiholela unaoelekeza kwenye mazingira ya mwigizaji tishio wakati haja ya kuanzisha upya inapotekelezwa. “Katika CVE-2024-10224, […] ingizo linalodhibitiwa na mshambulizi linaweza kusababisha Moduli::ScanDeps Perl moduli kutekeleza amri kiholela kwa kufungua()ing’bomba hatari’ (kama vile kwa kupitisha ‘amri|’ kama jina la faili) au kwa kupitisha mifuatano ya kiholela kwa eval() ,” Ubuntu alibainisha. “Kwa peke yake, hii haitoshi kwa ongezeko la upendeleo wa ndani. Hata hivyo, katika CVE-2024-11003 needrestart hupitisha ingizo linalodhibitiwa na mshambulizi (majina ya faili) kwa Moduli::ScanDeps na kuchochea CVE-2024-10224 kwa upendeleo wa mizizi. Marekebisho ya CVE-2024-11003 huondoa utegemezi wa needrestart kwenye Moduli::ScanDeps.” Ingawa inashauriwa sana kupakua viraka vya hivi karibuni, Ubuntu alisema watumiaji wanaweza kulemaza vichanganuzi vya mkalimani kwa kuhitaji kuanzisha upya faili ya usanidi kama upunguzaji wa muda na kuhakikisha kuwa mabadiliko yamefanyika. kurejeshwa baada ya masasisho kutumika “Udhaifu huu katika matumizi ya hitaji la kuanzisha upya huruhusu watumiaji wa ndani kuongeza zao haki kwa kutekeleza msimbo kiholela wakati wa usakinishaji wa kifurushi au uboreshaji, ambapo hitaji la kuanza tena mara nyingi huendeshwa kama mtumiaji wa mizizi,” Saeed Abbasi, meneja wa bidhaa wa TRU huko Qualys, alisema. “Mshambulizi anayetumia udhaifu huu anaweza kupata ufikiaji wa mizizi, kuathiri uadilifu wa mfumo na usalama. .” Je, makala haya yamekuvutia? Tufuate kwenye Twitter  na LinkedIn ili kusoma maudhui ya kipekee tunayochapisha.