Dhawr dayacan ayaa laga helay maamulaha furaha Wayland

Darkcrizt

Daqiiqado 4

Maalmo ka hor ayaa warka la sii daayay kaas dhowr baylah ah ayaa la helay gudaha swhkd (Simple Wayland HotKey Daemon) oo ay sababtay sida khaldan ee loo maareeyo faylalka ku meel gaadhka ah, xulashada khadka taliska iyo saldhigyada unix.

Barnaamijku wuxuu ku qoran yahay Rust wuxuuna ka shaqeeyaa furayaasha kulul ee deegaanka iyadoo lagu salaynayo hab-maamuuska Wayland (analoogga qaabeynta faylka ku habboon ee habka sxhkd ee loo isticmaalo deegaannada X11-ku-saleysan). Xirmada waxaa ku jira habsocodka swhks aan mudnayn ee fuliya ficillada hotkeys iyo habka asalka swhkd kaas oo u shaqeeya sidii xidid oo la falgala qalabka wax gelinta ee heerka API uinput. Si loo habeeyo isdhexgalka ka dhexeeya swhks iyo swhkd, godka Unix ayaa la isticmaalaa.

Xeerarka Polkit waxay u oggolaanayaan isticmaale kasta oo maxalli ah inuu socodsiiyo habka /usr/bin/swhkd xidid ahaan oo uu u gudbiyo cabbirro aan sabab lahayn.

Isku dhafka xirmada RPM loo gudbiyay OpenSUSE Tumbleweed waxa ku jira xeerar aan caadi ahayn oo Polkit ah faylka qeexida ee u baahan dib u eegis ay sameeyeen kooxda amniga SUSE.

Natiijadii dib u eegista, arrimo badan oo amniga ah ayaa la aqoonsaday. Arrimaha gaarka ah ayaa lagu sifeeyay warbixinta faahfaahsan ee hoose.

Ee baylahda la aqoonsaday, kuwan soo socda ayaa lagu xusay:

CVE-2022-27815

Jilicsanaantaas waxay ogolaataa in lagu kaydiyo nidaamka PID fayl leh magac la saadaalin karo iyo tusaha la qori karo ee isticmaalayaasha kale (/tmp/swhkd.pid), kaas oo isticmaale kasta uu ku samayn karo faylka /tmp/swhkd.pid oo uu geliyaa pid ee habka jira, taas oo ka dhigaysa mid aan macquul ahayn bilawga swhkd.

Maqnaanshaha ka-hortagga abuurista isku-xireyaasha astaanta ah ee /tmp, nuglaanta waxaa loo isticmaali karaa in la abuuro ama lagu beddelo galalka Buug kasta oo ku yaal nidaamka (PID-du waxay ku qoran tahay faylka) ama go'aami nuxurka fayl kasta ee nidaamka (swhkd waxay soo saartaa dhammaan waxyaabaha ku jira faylka PID si ay u stdout). Waa in la ogaadaa in hagaajinta la sii daayay, faylka PID looma rarin tusaha /runta, laakiin loo raray /etc directory (/etc/swhkd/runtime/swhkd_{uid}.pid), halkaas oo aanu midkoodna ka tirsanayn. .

CVE-2022-27814

Jilicsanaantaas Waxay kuu ogolaaneysaa inaad wax ka beddesho "-c" ikhtiyaarka khadka taliska si aad u qeexdo faylka qaabeynta ayaa go'aamin kara jiritaanka fayl kasta oo nidaamka ku jira.

Sida kiiska u nuglaanshaha koowaad, hagaajinta dhibaatadu waa wareer: hagaajinta dhibaatadu waxay hoos ugu dhacdaa xaqiiqda ah in utility "bisad" dibadda ah ('Amarka:: cusub ("/ bin / bisad").arg (dariiqa) waa hadda la bilaabay si loo akhriyo config file.output()').

CVE-2022-27819

Dhibaatadan waxay sidoo kale la xiriirtaa isticmaalka "-c" doorashada, kaas oo raraynaya oo kala qaybinaya dhammaan faylka qaabeynta iyada oo aan la hubin xajmiga iyo nooca faylka.

Tusaale ahaan, si aad u keento diidmo adeeg sababtoo ah gabaabsi xusuusta bilaashka ah iyo abuurista I/O khaldan, waxaad ku qeexi kartaa qalabka xannibaadda bilowga ("pkexec / usr/bin/swhkd -d -c /dev/sda") ama qalab jile ah oo soo saara xog aan dhammaad lahayn.

Arrinta waxaa lagu xalliyey dib u dajinta mudnaanta ka hor inta aan la furin feylka, laakiin xalku ma dhameystirmin maadaama kaliya aqoonsiga isticmaalaha (UID) dib loo dajiyay, laakiin aqoonsiga kooxda (GID) uu ahaanayo sidiisii.

CVE-2022-27818

Jilicsanaantaas wuxuu kuu ogolaanayaa inaad isticmaasho faylka /tmp/swhkd.sock si aad u abuurto godka Unix, Kaas oo lagu abuuray hagaha wax lagu qori karo ee dadweynaha, taasoo keenaysa arrimo la mid ah dayacanka koowaad (isticmale kastaa wuu abuuri karaa /tmp/swhkd.sock oo curin karaa ama dhexgali kara dhacdooyinka furaha).

CVE-2022-27817

Nuglaantan, Dhacdooyinka galinta waxa laga helayaa aaladaha oo dhan iyo fadhiyada oo dhan, taas oo ah, isticmaale ku sugan Wayland kale ama fadhiga konsole wuxuu faragelin karaa dhacdooyinka marka isticmaaleyaasha kale ay riixaan furayaasha kulul.

CVE-2022-27816

Habka swhks, sida swhkd, wuxuu isticmaalaa faylka PID-ga /tmp/swhks.pid ee tusaha si guud loo qori karo/tmp. Arrintu waxay la mid tahay baylahda kowaad, laakiin maaha mid khatar ah, maadaama swhks ay hoos yimaadaan isticmaale aan mudnaanta lahayn.

Ugu dambeyntiina, haddii aad xiisaynayso inaad wax badan ka ogaato, waad la tashan kartaa faahfaahinta xiriirka soo socda.


Ka tag faalladaada

cinwaanka email aan la daabacin doonaa. Beeraha loo baahan yahay waxaa lagu calaamadeeyay la *

*

*

  1. Ka mas'uul ah xogta: AB Internet Networks 2008 SL
  2. Ujeedada xogta: Xakamaynta SPAM, maaraynta faallooyinka.
  3. Sharci: Oggolaanshahaaga
  4. Isgaarsiinta xogta: Xogta looma gudbin doono dhinacyada saddexaad marka laga reebo waajibaadka sharciga ah.
  5. Kaydinta xogta: Macluumaadka ay martigelisay Shabakadaha Occentus (EU)
  6. Xuquuqda: Waqti kasta oo aad xadidi karto, soo ceshan karto oo tirtiri karto macluumaadkaaga.