Kevin Backhouse (cilmibaare xagga amniga ah) la wadaago dhowr maalmood ka hor barta GitHub ee qoraalka ah la kulantay qalad adeegga khaaska ah la xidhiidha systemd (nidaam guud oo Linux ah iyo qayb ka mid ah maamulaha adeegga), oo u nuglaanta toddobo jirka ah taas loo oggol yahay inay fuliso kor u qaadista mudnaanta kaas oo ku dhuumaaleysanayay qeybinno kala duwan oo Linux ah oo isbuucii hore la dhajiyay si isuduwid leh loo sii daayay.
Polkit waa qalab heer-codsi ah oo qeexaya iyo maaraynta siyaasadda taas ayaa u oggolaanaysa geeddi-socodyada aan sharciga la marin La hadal geeddi-socodka mudnaanta leh, waxay ku rakibtaa si caadi ah qaybinta Linux kala duwan. Jilicsanaanta waxaa lagu soo bandhigay nooca 0.113 toddobo sano ka hor (commit bfa5036) waxaana la hagaajiyay 3-dii Juun ka dib markii ay dhowaan shaaca ka qaadday cilmibaaraha amniga ee Kevin Backhouse.
Anigoo xubin ka ah shaybaarka amniga ee GitHub, shaqadaydu waxay tahay inaan ka caawiyo hagaajinta amniga softiweerka il furan anigoo raadinaya kana warbixinaya dayacanka. Dhowr toddobaad ka hor, waxaan ka helay mudnaanta u nuglaanta u nuglaanta dharka. Soo bandhigista nuglaanta isuduwidda leh ee ilaaliyayaasha dharka iyo kooxda amniga ee Red Hat. Waxaa si cad loo ogeysiiyay, hagaajinta waxaa la sii daayay Juun 3, 2021 waxaana loo xilsaaray CVE-2021-3560
Nidaam kasta oo Linux ah oo adeegsada nooc nugul oo loo yaqaan 'polkit' ayaa suuragal ah inuu soo gaaro weerarada ka faa'iideysanaya cilladda CVE-2021-3560, "faallooyinka Backhouse. wuxuu leeyahay cilladdu waa wax la yaab leh oo si fudud looga faa'iideysan karo, maaddaama ay u baahan tahay xoogaa amarro ah iyadoo la adeegsanayo aalado terminal caadi ah sida bash, dil, iyo dbus-dir.
Jilicsanaanta waxaa keenay iyadoo la bilaabayo amar dbus-dir ah, laakiin la dilo iyadoo polkit wali ay ka shaqeyneyso dalabka, ”ayuu sharraxay Backhouse.
Guri-gadaal soo dhigay muuqaal PoC ee weerarka ka faa'iideysanaya nuglaantaas oo muujineysa inay fududahay in la hawlgeliyo.
Jilicsanaanta ayaa u oggolaanaysa isticmaale maxalli ah oo aan la shardi karin inuu ku helo xidid xidid ku ah nidaamka. Way fududahay in looga faa'iidaysto qaar ka mid ah aaladaha laynka amarka ee caadiga ah, sida aad ku arki karto fiidiyowgan gaaban, 'ayuu khabiirku ku qoray qoraallo qoraal ah
Markaad dbus-dirto (amar isgaarsiineed oo u dhexeeya geeddi-socodka), dhexda codsiga sugida ayaa sababa qalad Kaas oo ka yimaada polkit oo codsanaya UID isku xir aan sii jirin (maxaa yeelay isku xirkii ayaa la tuuray).
"Xaqiiqdii, polkit wuxuu khaldama khaladka si khaas ah nasiib darro: halkii uu diidi lahaa codsiga, wuxuu ula dhaqmayaa sidii inuu ka yimid hannaan UID 0 ah," ayuu sharxayaa Backhouse. "Si kale haddii loo dhigo, waxaad isla markaaba oggolaataa codsiga sababta oo ah waxaad u malaynaysaa in codsigu ka yimid geeddi-socod aasaasi ah."
Tani ma dhaceyso waqtiga oo dhan, maxaa yeelay su'aalaha UID ee polkit ee dbus-daemon wuxuu ku dhacaa marar badan waddooyin kala duwan. Badanaa waddooyinka koodhadhku waxay si sax ah u maareeyaan qaladka, ayuu yiri Backhouse, laakiin dariiqa koodhku waa u nugul yahay, oo haddii goyntu dhacdo marka koodhkaas uu shaqeynayo, markaa sare u kaca mudnaanta ayaa dhacda. Waa wax walba waqti, taas oo ku kala duwan siyaabo aan la saadaalin karin sababtoo ah hawlo badan ayaa ku lug leh.
Sidoo kale, cilmibaaraha ayaa daabacay jadwalka soo socda kaas oo ka kooban liiska qaybinta hadda nugul:
QAYBIN | LACAG LA'AAN AH? |
---|---|
RHEL 7 | Maya |
RHEL 8 | haa |
Fedora 20 (ama ka hor) | Maya |
Fedora 21 (ama ka dib) | haa |
Debian 10 ("buster") | Maya |
Imtixaanka Debian | haa |
Ubuntu 18.04 | Maya |
Ubuntu 20.04 | haa |
Qaybinta Linux ee leh nooca loo yaqaan 'polkit' 0.113 ama goor dambe la rakibay, sida Debian (laan aan xasilloonayn), RHEL 8, Fedora 21 iyo wixii ka sarreeya, iyo Ubuntu 20.04.
Dabeecadda goos gooska ah ee cayayaanka, Backhouse ayaa qiyaaseysa, inay tahay sababta ay u ogaan la'dahay toddobo sano.
"CVE-2021-3560 waxay u oggolaaneysaa weeraryahan maxalli ah oo aan la hubin inuu helo mudnaanta xididdada," ayuu yiri Backhouse. "Waa wax fudud oo deg deg ah in laga faa'iidaysto, markaa waa muhiim inaad cusboonaysiiso qalabkaaga Linux sida ugu dhakhsaha badan."
Finalmente Haddii aad xiisaynayso inaad waxbadan ka ogaato, waad hubin kartaa faahfaahinta Xiriirka soo socda.