சில நாட்களுக்கு முன்பு X.Org சேவையகத்துடன் ஒரு பிழை வெளியிடப்பட்டது, இது லினக்ஸ் மற்றும் பி.எஸ்.டி அமைப்புகளின் பாதுகாப்பை ஆபத்தில் ஆழ்த்தியது.
இன் ஊழியர்கள் ZDNet தான் ஒரு புதிய பாதுகாப்பு மீறல் பற்றிய எச்சரிக்கையை விடுத்தது X.Org இல், தாக்குபவர் கணினிக்கு மட்டுப்படுத்தப்பட்ட அணுகலைப் பெற அனுமதித்தார்.
கிடைத்த தவறு பற்றி
கண்டுபிடிக்கப்பட்ட தவறு X.Org சேவையகத்தில் உள்ளது உள்நாட்டில் அல்லது ஒரு SSH அமர்வில் தொலைதூரத்திலிருந்தே கணினிக்கு மட்டுப்படுத்தப்பட்ட அணுகலைப் பெற இது படையெடுப்பாளரை அனுமதித்தது, இதனால் அனுமதிகளை மாற்றவும் ரூட் பயன்முறையை அடையவும் முடிந்தது.
பாதிப்பு கண்டறியப்பட்டது இது "ஆபத்தான" வகை தோல்விகளின் பிரிவில் இல்லை இது நன்கு திட்டமிடப்பட்ட, உயர் பாதுகாப்பு கணினிகளைப் பற்றி கவலைப்படக்கூடிய ஒரு தடுமாற்றம் அல்ல.
ஆனால் போதுமான அறிவைக் கொண்ட தாக்குபவர் பயன்படுத்தும் இந்த சிறிய குறைபாடு ஒரு பயங்கரமான படையெடுப்பைப் பற்றி கவலைப்படாத ஒன்றை விரைவாக மாற்றும், என்கிறார் கேடலின் சிம்பானு.
பாதுகாப்பான கணினிகளில் ஊடுருவ இதைப் பயன்படுத்த முடியாது, ஆனால் இது தாக்குபவர்களுக்கு இன்னும் பயனுள்ளதாக இருக்கிறது, ஏனெனில் இது எளிய ஊடுருவல்களை விரைவாக தவறான பைரட்டுகளாக மாற்றும்.
லினக்ஸ் மற்றும் இன்ஃபோசெக் சமூகங்களால் பாதிப்பை புறக்கணிக்க முடியாது, கடந்த வியாழக்கிழமை இந்த பாதுகாப்பு குறைபாடு இருந்ததை பகிரங்கப்படுத்தியதும், அதை சரிசெய்யத் தொடங்கியது.
தோல்வி ஏற்கனவே பல ஆண்டுகளுக்கு முன்பு கண்டறியப்பட்டது
இசட்நெட் கேட்ட பாதுகாப்பு ஆலோசகர் நரேந்திர ஷிண்டே அதை எச்சரித்தார் இந்த குறைபாடு அவர்களின் மே 2016 அறிக்கையில் சுட்டிக்காட்டப்பட்டது மற்றும் X.Org சேவையக தொகுப்பில் இந்த பாதிப்பு உள்ளது இது தாக்குபவர்களுக்கு ரூட் சலுகைகளை வழங்கக்கூடும், மேலும் எந்தவொரு கோப்பையும் மாற்றலாம், இயக்க முறைமைக்கு மிக முக்கியமானவை கூட.
இந்த பாதிப்பு CVE-2018-14665 என அடையாளம் காணப்பட்டது அத்தகைய பிழையை ஏற்படுத்தக்கூடியது அதில் காணப்பட்டது.
குறியீட்டின் இரண்டு வரிகளை தவறாகக் கையாளுதல், "-logfile" மற்றும் "-modulepath" வரிகளாக இருப்பதால், படையெடுப்பாளர்கள் தங்கள் தீங்கிழைக்கும் குறியீட்டைச் செருக அனுமதித்திருப்பார்கள்.
X.Org சேவையகம் ரூட் சலுகைகளுடன் இயங்கும்போது இந்த பிழை ஸ்கேன் செய்யப்படுகிறது, இது பல டிஸ்ட்ரோக்களில் பொதுவானது.
பாதிக்கப்பட்ட விநியோகங்கள்
தி X.Org அறக்கட்டளை உருவாக்குநர்கள் ஏற்கனவே ஒரு புதிய தீர்வைத் திட்டமிட்டுள்ளனர் X.Org பதிப்பு 1.20.3 க்கு, இதனால் இந்த இரண்டு வரிகளால் ஏற்படும் சிக்கல்களை தீர்க்கவும்.
போன்ற விநியோகங்கள் Red Hat Enterprise Linux, Fedora, CentOS, Debian, Ubuntu மற்றும் OpenBSD ஆகியவை பாதிக்கப்பட்டுள்ளதாக ஏற்கனவே உறுதிப்படுத்தப்பட்டுள்ளன, மற்ற சிறிய திட்டங்களும் பாதிக்கப்பட்டுள்ளன.
தொகுப்பில் உள்ள பாதுகாப்பு புதுப்பிப்புகள் X.Org சேவையக பாதிப்பை சரிசெய்யும் நோக்கம் கொண்டவை, அவை அடுத்த சில மணிநேரங்களில் அல்லது நாட்களில் பயன்படுத்தப்பட வேண்டும்.
ஓப்பன் # 0 நாள் CVE-2018-14665 வழியாக Xorg LPE தொலை SSH அமர்வில் இருந்து தூண்டப்படலாம், உள்ளூர் கன்சோலில் இருக்க தேவையில்லை. தாக்குபவர் 3 கட்டளைகள் அல்லது அதற்கும் குறைவான பாதிப்புக்குள்ளான அமைப்புகளை உண்மையில் எடுத்துக்கொள்ள முடியும். பயன்படுத்தி https://t.co/3FqgJPeCvO ? pic.twitter.com/8HCBXwBj5M
- ஹேக்கர் அருமையான (@hackerfantastic) அக்டோபர் 25, 2018
மறுபுறம், லினக்ஸ் புதினா மற்றும் உபுண்டுவில் திருத்தம் ஏற்கனவே வெளியிடப்பட்டு உறுதிப்படுத்தப்பட்டுள்ளது, நீங்கள் கணினியைப் புதுப்பிக்க வேண்டும்மற்ற விநியோகங்கள் பேட்சை வெளியிட விரும்புகிறதா அல்லது எக்ஸ்.ஆர்க் மேம்பாட்டுக் குழுவால் வெளியிடப்பட்டவருக்காக காத்திருக்கிறதா என்று இன்னும் தெரியவில்லை.
"ஒரு தாக்குபவர் 3 கட்டளைகளை அல்லது அதற்கும் குறைவான பாதிப்புக்குள்ளான கணினிகளை உண்மையில் கைப்பற்ற முடியும்" என்று ஹிக்கி ட்விட்டரில் கூறினார். "சுரண்டுவதற்கு வேறு பல வழிகள் உள்ளன, எடுத்துக்காட்டாக க்ரோன்டாப். இது எவ்வளவு அற்பமானது என்பது வேடிக்கையானது.
லினக்ஸ் மற்றும் பி.எஸ்.டி ஆகியவை முற்றிலும் பாதுகாப்பான அமைப்புகள் அல்ல என்பதை இது காட்டுகிறது, இருப்பினும் அவை விண்டோஸ் கணினிகளுடன் ஒப்பிடும்போது திடமான மற்றும் பாதுகாப்பான மாற்றுகளாகும்.
இறுதியாக அதனால்தான் X.org மற்றும் இது போன்ற பிரச்சினைகள் நீண்ட காலத்திற்கு முன்பே அறியப்பட்டவை, வேலண்ட் போன்ற மாற்றுகளின் செயலில் வளர்ச்சியின் முக்கியத்துவத்தை மீண்டும் நிரூபிக்கின்றன.
X.org மிகவும் பழைய நெறிமுறை என்பதால், அதை இப்போது மாற்ற வேண்டும், இருப்பினும் துரதிர்ஷ்டவசமாக நம்மிடம் வேலண்ட் அல்லது மிர் போன்ற மாற்று வழிகள் இருந்தாலும் இவை அனைவருக்கும் பயன்பாட்டினை வழங்குவதற்கு போதுமானதாக இல்லை.
இந்த மாற்றுகள் ஏற்கனவே சில லினக்ஸ் விநியோகங்களில் உள்ளன மற்றும் சோதனை செய்யப்பட்டுள்ளன, சிலவற்றில் இது எதிர்பார்த்தபடி செயல்படவில்லை என்றாலும் (வேலாண்டுடன் உபுண்டு விஷயமும் இதுதான்). X.org க்கான இந்த மாற்றுகள் லினக்ஸில் ஏதேனும் ஒரு தரநிலையாக மாறுவதற்கு முன்பே இன்னும் நீண்ட தூரம் செல்ல வேண்டியிருக்கிறது.