கடந்த வாரத்தில், மூன்று பாதிப்புகள் பற்றிய செய்திகள் வெளியிடப்பட்டன லினக்ஸ் கர்னலில் மூன்று பாதிப்புகள் அடையாளம் காணப்பட்டன இது ஒரு உள்ளூர் பயனரை கணினியில் தங்கள் சலுகைகளை உயர்த்த அனுமதிக்கும்.
புகாரளிக்கப்பட்ட பாதிப்புகளில் ஒன்று (CVE-2021-26708) AF_VSOCK முகவரியுடன் சாக்கெட் செயல்படுத்தலில் கண்டறியப்பட்டது, விருந்தினர் மற்றும் ஹோஸ்ட் பயன்பாடுகளுக்கு இடையில் நெட்வொர்க்கிங் நோக்கம். பல போக்குவரத்தை (VSOCK பல போக்குவரத்து) கையாள பூட்டுகளை உள்ளமைக்கும் போது ஒரு பந்தய நிலை காரணமாக சிக்கல் ஏற்படுகிறது.
பாதிப்பை அடையாளம் கண்ட ஆராய்ச்சியாளர் ஒரு செயல்பாட்டு சுரண்டலை உருவாக்கியதாகக் கூறுகிறார் இது ஃபெடோரா சர்வர் 33 இல் ரூட் உரிமைகளைப் பெற அனுமதிக்கிறது, இது SMEP (மேற்பார்வையாளர் பயன்முறை தடுப்பு தடுப்பு) மற்றும் SMAP (மேற்பார்வையாளர் பயன்முறை அணுகல் தடுப்பு) பாதுகாப்பு வழிமுறைகளைத் தவிர்த்து விடுகிறது. புதுப்பிப்புகளின் பொதுவான விநியோகத்திற்குப் பிறகு சுரண்டல் குறியீடு வெளியிடப்படும்.
பாதிப்பு v5.5-rc1 முதல் தோன்றியது மற்றும் புதுப்பிப்பு 5.10.13 இல் சரி செய்யப்பட்டது. RHEL இல், VSOCK ஆதரவை அறிமுகப்படுத்திய பதிப்பு 8.3 (கர்னல் 4.18.0-240) முதல் மட்டுமே சிக்கல் வெளிப்படுகிறது. டெபியன் மற்றும் SUSE இன் நிலையான கிளைகள் சிக்கலால் பாதிக்கப்படவில்லை. உபுண்டுவில், பாதிப்புக்குள்ளான நிலை இன்னும் தீர்மானிக்கப்படவில்லை.
மற்றொரு பாதிப்பு அறிக்கை (CVE-2021-3347) என்ன ஃபுடெக்ஸ் கையாளுதல் வழியாக கர்னல் நிலை குறியீடு செயல்படுத்த அனுமதிக்கலாம். விதிவிலக்கைக் கையாளும் போது ஏற்கனவே விடுவிக்கப்பட்ட நினைவக பகுதியை (இலவசத்திற்குப் பிறகு பயன்படுத்த) அணுகுவதன் மூலம் சிக்கல் ஏற்படுகிறது.
ஒரு சுரண்டல் இருப்பதைப் பற்றி இதுவரை எந்த தகவலும் இல்லை, ஆனால் கடந்த மாதத்தில் தோன்றிய 2014 ஆம் ஆண்டில் கண்டுபிடிக்கப்பட்ட பழைய ஃபுடெக்ஸ் பாதிப்புக்குள்ளான சி.வி.இ -3153-2014, இந்த வகை சிக்கல்களைச் சுரண்டுவதற்கான வாய்ப்பைக் குறிக்கலாம்.
இந்த பிரச்சினை 2008 முதல் உள்ளது மற்றும் அனைத்து விநியோகங்களையும் பாதிக்கும். பாதிப்பு ஏற்கனவே SUSE, Fedora மற்றும் ஓரளவு டெபியனில் சரி செய்யப்பட்டது. உபுண்டு மற்றும் ஆர்ஹெச்எல் ஆகியவற்றில் சிக்கல் இன்னும் சரி செய்யப்படவில்லை.
பயனர் இடம் ஃபுடெக்ஸின் ஒரு பகுதியாக இருக்கும் நீண்டகால பிரச்சினைக்கு தீர்வு காண முடியாது. கர்னல் ஒரு சீரற்ற நிலையில் திரும்புகிறது, இது மோசமான நிலையில், அடுக்கப்பட்ட பணி கர்னலின் UAF ஐ ஏற்படுத்தும்.
ஃபியூடெக்ஸில் எதிர்கால செயல்பாடுகள் தோல்வியடையும் ஒரு நிலையான கர்னல் நிலையை அமைப்பதே தீர்வு, ஏனெனில் பயனர் இடம் மற்றும் இடத்தின் கர்னல் நிலை சீரற்றதாக உள்ளது. PI வேலை செய்வதற்கு அடிப்படையில் ஒரு செயல்பாட்டு RW மேப்பிங் தேவைப்படுவதால் பயனர் இடம் இருந்தால் அது ஒரு பிரச்சினை அல்ல
அதன் கீழ் கம்பளத்தை இழுக்கவும், பின்னர் நீங்கள் கட்டளையிட்ட துண்டுகளை விட்டுவிடலாம்.
பாதிப்புகளில் கடைசி அறிக்கை (CVE-2021-20226) மற்றும்n ஒத்திசைவற்ற I / O இடைமுகம் io_uring, IORING_OP_CLOSE செயல்பாட்டைச் செய்வதற்கு முன்பு ஒரு பொருளின் இருப்பை தவறாகச் சரிபார்ப்பதன் காரணமாக கோப்பு விளக்கங்களை செயலாக்கும்போது ஏற்கனவே விடுவிக்கப்பட்ட நினைவகத் தொகுதியை அணுகுவதன் மூலம் (இலவசத்திற்குப் பிறகு பயன்படுத்தவும்) ஏற்படுகிறது.
Red Hat இன் படி, பாதிப்பு சேவை மறுப்பு அல்லது நினைவக கசிவுக்கு மட்டுப்படுத்தப்பட்டுள்ளது கர்னலின், ஆனால் ஜீரோ டே முன்முயற்சியின் படி, பாதிப்பு ஒரு உள்ளூர் பயனரை கர்னல் மட்டத்தில் குறியீட்டை இயக்க அனுமதிக்கிறது.
லினக்ஸ் கர்னலில் io_uring இல் ஒரு இலவச-இலவச பயன்பாட்டு குறைபாடு காணப்பட்டது, அங்கு பயனர் சலுகைகளைக் கொண்ட உள்ளூர் தாக்குபவர் கணினியில் சேவை சிக்கலை மறுக்கக்கூடும்
பயன்பாட்டில் இருக்கும்போது குறிப்பு எதிர் கோப்பை அதிகரிக்காமல் பொருளின் செயல்பாடுகளைச் செய்வதற்கு முன் ஒரு பொருளின் இருப்பை சரிபார்க்காததால் சிக்கல் எழுகிறது.
பாதிப்பு கர்னல் 5.5 முதல் வெளியிடப்பட்டது மற்றும் கர்னல் 5.10.2 இல் சரி செய்யப்பட்டது (பிற ஆதாரங்களின்படி, கர்னல் 5.9-rc1 இல் உள்ள பாதிப்பை நீக்குவதோடு ஒரு இணைப்பு சேர்க்கப்பட்டுள்ளது). ஃபெடோராவில் ஏற்கனவே சிக்கல் சரி செய்யப்பட்டது.
RHEL மற்றும் டெபியனின் நிலையான கிளைகளில், சிக்கல் தோன்றாது. உபுண்டுவில் பாதிப்புக்குள்ளான நிலை இன்னும் தீர்மானிக்கப்படவில்லை.
இறுதியாக நீங்கள் அதைப் பற்றி மேலும் அறிய ஆர்வமாக இருந்தால், பின்வரும் இணைப்புகளில் விவரங்களை நீங்கள் சரிபார்க்கலாம்.
சி.வி.இ -2021-26708, சி.வி.இ -2021-3347, CVE-2021-20226