Jilicsanaan ayaa lagu ogaadey GDM

Darkcrizt

Daqiiqado 4

Baaraha amniga waxaa qoray GitHub ogeysiiyey dhawaan waxaad aqoonsatay nuglaansho (CVE-2020-16125) ee Maamulaha Muuqaalka GNOME (GDM), oo mas'uul ka ah soo bandhigida shaashadda soo galitaanka.

Ku darnaanta nuglaanta kale ee adeegga raadinta koontada (xisaabaadka-daemon), dhibaatadu waxay u oggolaaneysaa koodhku inuu u shaqeeyo asal ahaan.  Jilicsanaanta waxay la xiriirtaa bilaabida khaldan ee korontada isku xirnaanta bilowga ah haddii aysan suurtagal ahayn in laga helo adeegga daemon koontada iyada oo loo marayo DBus.

Ku saabsan dayacanka

Isticmaalaha aan la xaqirin ayaa burburin kara nidaamka xisaabaadka-daemon ama taleefanka iska dhig, maxaa abuuri doona xaaladaha loogu talagalay gnome-initial-setup utility oo laga wado GDM, kaas oo adeegsade cusubi iska diiwaan gelin karo xubin ka mid ah kooxda sudo, taas oo ah, inay leeyihiin awood ay ku maamulaan barnaamijyada asal ahaan.

Caadi ahaan GDM wuxuu ugu yeeraa gnome-initial-setup si loo dejiyo isticmaaleha ugu horeeya haddii aysan koonto ku jirin nidaamka. Xaqiijinta jiritaanka xisaabaadka waxaa lagu sameeyaa iyadoo lala xiriirayo xisaabaadka-daemon. Haddii howsha la cayimay ay guul darreysato, GDM waxay u maleyneysaa in xisaabaadka la la'yahay oo ay bilaabayaan nidaamka qaabeynta bilowga ah

Baadhuhu wuxuu cadeeyay laba dariiqo oo lagu carqaladeeyo nidaamka xisaabaadka daemon- Kii ugu horeeyey (CVE-2020-16126) waxaa sabab u ah dib u dejin mudnaan qaldan iyo tan labaad (CVE-2020-16127) qalad markii lagu shaqeynayay feyl ".pam_environment".

Sidoo kale, u nuglaanta kale waxaa laga helay xisaabaadka daemon (CVE-2018-14036) oo ay sababtay baaritaanka dariiqa saxda ah ee faylka oo u oggolaanaya waxyaabaha faylka aan macquul ahayn in laga akhriyo nidaamka.

Jilicsanaanta xisaabaadka-daemon waxaa sababa isbeddelada ay sameeyeen horumariyeyaasha Ubuntu mana muuqdaan xisaabaadka ugu waaweyn ee xisaabaadka-daemon ee mashruuca FreeDesktop iyo xirmada Debian.

Arrinta CVE-2020-16127 waxay ku jirtaa balastar lagu daray Ubuntu oo fulisa hawsha 'is_in_pam_environment', oo akhriya waxyaabaha ku jira faylka .pam_environment faylka guriyaha isticmaalaha. Haddii aad geliso xiriir xiriiriye / dev / eber halkii feylkaan, nidaamka daemon ee koontada ayaa ku xirnaan doona howlaha akhriska ee aan dhammaadka lahayn waxayna joojineysaa ka jawaabidda codsiyada loo maro DBus

Waa wax aan caadi ahayn u nuglaanta nidaamka qalliinka casriga ah si sahal looga faa'iideysto. Mararka qaar, waxaan qoray kumanaan xarriiqood oo koodh ah si looga faa'iideysto u nuglaanta. 

Inta badan ka faa'iideysiga casriga ahi waxay ku lug leeyihiin xeelado adag, sida adeegsiga u nuglaanta musuqmaasuqa xasuusta si loogu buuxiyo walxaha been abuurka ah, ama lagu beddelo feyl leh isku xirnaan xagga saxda ah ee microsecond si looga faa'iideysto u nuglaanta TOCTOU. 

Marka maalmahan waa dhif iyo naadir in la helo nuglaansho aan u baahnayn xirfadaha sireed si looga faa'iideysto. Waxaan sidoo kale u maleynayaa nuglaanta inay fududahay in la fahmo, xitaa haddii aadan aqoon hore u laheyn sida Ubuntu u shaqeyso ama khibrada ugu leedahay baaritaanka amniga.

Jilicsanaanta CVE-2020-16126 waxaa sababay balastar kale taas oo dib-u-dejinaysa mudnaanta isticmaaleha hadda socda inta laga shaqeynayo wicitaannada DBus qaarkood (tusaale ahaan, org.freedesktop.Accounts.User.SetLanguage).

Nidaamka daemon ee koontada wuxuu caadi ahaan u socdaa asal ahaan, taas oo ka hortageysa isticmaalaha caadiga ah inuu diro calaamadaha.

Laakiin mahadsanid balastarka lagu daray, mudnaanta nidaamka dib ayaa loo cusbooneysiin karaa oo isticmaaluhu wuxuu ku dhammeyn karaa howshan isagoo diraya calaamadda. Si aad u fuliso weerar, si fudud u abuur shuruudaha ka saarida mudnaanta (RUID) oo u dir SIGSEGV ama SIGSTOP calaamadda nidaamka daemon koontada.

Isticmaaluhu wuxuu dhammeeyaa casharka garaafka wuxuuna aadaa qunsulka qoraalka (Ctrl-Alt-F1).
Ka dib markii kalfadhiga garaafku dhammaado, GDM wuxuu isku dayaa inuu muujiyo shaashadda soo galitaanka, laakiin wuu sudhan yahay markii la isku dayayo inuu jawaab ka helo xisaabaadka-daemon

Calaamadaha SIGSEGV iyo SIGCONT waxaa laga soo diraa qunsulka nidaamka xisaabta daemon, taasoo keeneysa inay soo laalaato.

Waxaad sidoo kale diri kartaa calaamado kahor intaadan kabixin kalfadhiga garaafka, laakiin waa inaad ku sameysaa dib udhac si aad uhesho waqti aad kudhameyso casharka kahorna intaan la dirin calaamada, GDM waxay heshay waqti ay kubilaabato.

Codsiga xisaabaadka daemon ee GDM wuu guuldareystay GDM-na wuxuu ugu yeerayaa utility-ka gnome-initial-setup-ka, kaasoo dhexdiisa ay ku filan tahay abuuritaanka xisaab cusub.

Jilicsanaanta ayaa lagu hagaajiyay GNOME 3.36.2 iyo 3.38.2. Ka faa'iideysiga nuglaanta waxaa lagu xaqiijiyay Ubuntu iyo waxyaabaha ka dhasha.

source: https://securitylab.github.com


Ka tag faalladaada

cinwaanka email aan la daabacin doonaa. Beeraha loo baahan yahay waxaa lagu calaamadeeyay la *

*

*

  1. Ka mas'uul ah xogta: AB Internet Networks 2008 SL
  2. Ujeedada xogta: Xakamaynta SPAM, maaraynta faallooyinka.
  3. Sharci: Oggolaanshahaaga
  4. Isgaarsiinta xogta: Xogta looma gudbin doono dhinacyada saddexaad marka laga reebo waajibaadka sharciga ah.
  5. Kaydinta xogta: Macluumaadka ay martigelisay Shabakadaha Occentus (EU)
  6. Xuquuqda: Waqti kasta oo aad xadidi karto, soo ceshan karto oo tirtiri karto macluumaadkaaga.