લીનેજઓએસ મોબાઇલ પ્લેટફોર્મના વિકાસકર્તાઓ (એક કે જેણે સાયનોજેનમોડને બદલ્યું) તેઓએ ચેતવણી આપી ઓળખ વિશે તમારા ઇન્ફ્રાસ્ટ્રક્ચર પર અનધિકૃત fromક્સેસથી બાકી નિશાનો. એવું જોવા મળે છે કે 6 મેના રોજ સવારે 3 વાગ્યે (એમએસકે) હુમલાખોર મુખ્ય સર્વરની gainક્સેસ મેળવવામાં સફળ રહ્યો હજી સુધી પેચ થયેલ ન હોય તેવા નબળાઈઓનો ઉપયોગ કરીને સેલ્ટસ્ટેક સેન્ટ્રલાઇઝ્ડ કન્ફિગરેશન મેનેજમેન્ટ સિસ્ટમની.
ફક્ત એટલું જ અહેવાલ છે કે આ હુમલાની અસર થઈ નથી ડિજિટલ હસ્તાક્ષરો પેદા કરવાની ચાવીઓ, બિલ્ડ સિસ્ટમ અને પ્લેટફોર્મનો સ્રોત કોડ. ચાવીઓ સtલ્ટસ્ટackક દ્વારા સંચાલિત મુખ્ય ઇન્ફ્રાસ્ટ્રક્ચરથી સંપૂર્ણપણે અલગ હોસ્ટ પર મૂકવામાં આવી હતી અને 30 એપ્રિલે તકનીકી કારણોસર એસેમ્બલીઓને અટકાવી દેવામાં આવી હતી.
સ્ટેટસ.લાઈનેજઓ.ઓ.આર.જી. પૃષ્ઠ પરના ડેટાને ધ્યાનમાં રાખીને, વિકાસકર્તાઓએ પહેલાથી જ ગેરીટની કોડ સમીક્ષા સિસ્ટમ, વેબસાઇટ અને વિકી સાથે સર્વરને પુન restoredસ્થાપિત કરી દીધો છે. બિલ્ડ્સ સાથે સર્વરો (builds.lineageos.org), આ પોર્ટલ ડાઉનલોડ કરો ફાઇલોની (download.lineageos.org), મેલ સર્વરો અને મિરર્સને આગળ ધપાવી સંકલન કરવાની સિસ્ટમ હાલમાં અક્ષમ છે.
ચુકાદા વિશે
29 એપ્રિલના રોજ એક અપડેટ બહાર પાડવામાં આવ્યું હતું સtલ્ટસ્ટેક 3000.2 પ્લેટફોર્મ પરથી અને ચાર દિવસ પછી (2 મે) બે નબળાઈઓ દૂર કરવામાં આવી હતી.
સમસ્યા ખોટી છે જેમાં, જે નબળાઈઓ જણાવી હતી, એક એપ્રિલ 30 ના રોજ પ્રકાશિત થયું હતું અને તેને ઉચ્ચતમ સ્તરનું જોખમ સોંપવામાં આવ્યું હતું (અહીં બગ ફિક્સ અથવા ફિક્સ્સની શોધ અને પ્રકાશનના કેટલાક દિવસો કે અઠવાડિયા પછી માહિતીને પ્રકાશિત કરવાનું મહત્વ છે).
કારણ કે ભૂલ અનઆધિકારિત વપરાશકર્તાને રીમોટ કોડ એક્ઝેક્યુશનને કંટ્રોલિંગ હોસ્ટ (મીઠું-માસ્ટર) તરીકે કરવા દે છે અને તેના દ્વારા સંચાલિત બધા સર્વર્સ.
હુમલો એ હકીકત દ્વારા કરવામાં આવ્યો હતો કે બાહ્ય વિનંતીઓ માટે ફાયરવ byલ દ્વારા નેટવર્ક બંદર 4506 (સ theલ્ટસ્ટStકને toક્સેસ કરવા માટે) અવરોધિત કરાયું ન હતું અને જેમાં હુમલો કરનારને વંશની સાલ્ટસ્ટેકના વિકાસકર્તાઓ પહેલાં કાર્ય કરવાની રાહ જોવી પડી હતી અને એક્સ્પ્લ્યુટોરોવાટ ઇન્સ્ટોલ કરવાનો પ્રયાસ કરશે. નિષ્ફળતા સુધારવા માટે એક અપડેટ.
બધા સાલ્ટસ્ટેક વપરાશકર્તાઓને તાકીદે તેમની સિસ્ટમોને અપડેટ કરવાની અને હેકિંગના સંકેતોની તપાસ કરવાની સલાહ આપવામાં આવે છે.
દેખીતી રીતે, સtલ્ટસ્ટેક દ્વારા કરવામાં આવેલા હુમલા ફક્ત લાઇનિએઓએસને અસર કરવા સુધી મર્યાદિત ન હતા અને દિવસ દરમિયાન વ્યાપક બન્યા, ઘણા વપરાશકર્તાઓ કે જેમની પાસે સ Salલ્ટસ્ટackકને અપડેટ કરવાનો સમય નથી, તેઓએ જોયું કે તેમના ઇન્ફ્રાસ્ટ્રક્ચર્સને માઇનિંગ હોસ્ટિંગ કોડ અથવા પાછળના દરવાજા દ્વારા સમાધાન કરવામાં આવ્યું હતું.
તે પણ આવી જ હેક ઓન રિપોર્ટ કરે છે સામગ્રી મેનેજમેન્ટ સિસ્ટમ ઇન્ફ્રાસ્ટ્રક્ચર ભૂત, શુંતેણે ઘોસ્ટ (પ્રો) સાઇટ્સ અને બિલિંગને અસર કરી હતી (એવો આક્ષેપ કરવામાં આવે છે કે ક્રેડિટ કાર્ડ નંબરોને અસર થઈ નથી, પરંતુ ઘોસ્ટ વપરાશકર્તાઓના પાસવર્ડ હેશ હુમલાખોરોના હાથમાં આવી શકે છે).
- પ્રથમ નબળાઈ (સીવીઇ -2020-11651) જ્યારે મીઠું-માસ્ટર પ્રક્રિયામાં ક્લિયરફંક્સ વર્ગની પદ્ધતિઓને બોલાવતા હોય ત્યારે તે યોગ્ય તપાસની અછતને કારણે થાય છે. નબળાઈ દૂરસ્થ વપરાશકર્તાને પ્રમાણીકરણ વિના ચોક્કસ પદ્ધતિઓ accessક્સેસ કરવાની મંજૂરી આપે છે. ખાસ કરીને, સમસ્યારૂપ પદ્ધતિઓ દ્વારા, કોઈ હુમલાખોર માસ્ટર સર્વર પર રૂટ એક્સેસ મેળવવા માટે એક ટોકન મેળવી શકે છે અને સેવા આપેલા હોસ્ટ્સ પરના કોઈપણ આદેશને ચલાવી શકે છે જે સોલ્ટ-મિનિઅન ડિમન ચલાવે છે. વીસ દિવસ પહેલા એક પેચ બહાર પાડવામાં આવી હતી જે આ નબળાઈને સુધારે છે, પરંતુ તેની એપ્લિકેશન દેખાય તે પછી, ત્યાં પછાત ફેરફારો થયા હતા જેના કારણે ફાઇલ સિંક્રનાઇઝેશન સ્થિર થઈ અને વિક્ષેપ થયો.
- બીજી નબળાઈ (સીવીઇ -2020-11652) ક્લિઅરફંક્સ વર્ગ સાથેની મેનિપ્યુલેશન્સ દ્વારા, ચોક્કસ રીતે નિર્ધારિત પાથોના સ્થાનાંતરણ દ્વારા પદ્ધતિઓની accessક્સેસ, જે રુટ સગવડતાવાળા માસ્ટર સર્વરના એફએસ પર મનસ્વી ડિરેક્ટરીઓની સંપૂર્ણ forક્સેસ માટે વાપરી શકાય છે, પરંતુ તેને પ્રમાણિત accessક્સેસની જરૂર છે ( આવી accessક્સેસ પ્રથમ નબળાઈનો ઉપયોગ કરીને અને સંપૂર્ણ સંરચના સાથે સંપૂર્ણ રીતે સમાધાન કરવા માટે બીજી નબળાઈનો ઉપયોગ કરીને મેળવી શકાય છે).