சில நாட்களுக்கு முன்பு ஒரு கதவு என அடையாளம் காணப்பட்ட பாதிப்பைத் தணிக்கும் பொருட்டு வெப்மினின் புதிய பதிப்பு வெளியிடப்பட்டது (CVE-2019-15107), திட்டத்தின் அதிகாரப்பூர்வ பதிப்புகளில் காணப்படுகிறது, இது Sourceforge மூலம் விநியோகிக்கப்படுகிறது.
கண்டுபிடிக்கப்பட்ட கதவு 1.882 முதல் 1.921 வரையிலான பதிப்புகளில் இருந்தது உள்ளடக்கியது (கிட் களஞ்சியத்தில் ஒரு கதவுடன் எந்த குறியீடும் இல்லை) மற்றும் அங்கீகாரமின்றி தொலைதூரத்தில் ரூட்-சலுகை பெற்ற கணினியில் தன்னிச்சையான ஷெல் கட்டளைகளை இயக்க அனுமதிக்கப்பட்டீர்கள்.
வெப்மின் பற்றி
வெப்மின் பற்றி தெரியாதவர்களுக்கு அவர்கள் அதை அறிந்து கொள்ள வேண்டும் இது லினக்ஸ் அமைப்புகளை கட்டுப்படுத்துவதற்கான வலை அடிப்படையிலான கட்டுப்பாட்டு குழு. உங்கள் சேவையகத்தை நிர்வகிக்க ஒரு உள்ளுணர்வு மற்றும் பயன்படுத்த எளிதான இடைமுகத்தை வழங்குகிறது. வெப்மினின் சமீபத்திய பதிப்புகள் நிறுவப்பட்டு விண்டோஸ் கணினிகளில் இயக்கப்படலாம்.
வெப்மின் மூலம், பறக்கும்போது பொதுவான தொகுப்பு அமைப்புகளை மாற்றலாம்வலை சேவையகங்கள் மற்றும் தரவுத்தளங்கள், பயனர்கள், குழுக்கள் மற்றும் மென்பொருள் தொகுப்புகளை நிர்வகித்தல் உட்பட.
இயங்கும் செயல்முறைகளையும், நிறுவப்பட்ட தொகுப்புகள் பற்றிய விவரங்களையும் காண வெப்மின் பயனரை அனுமதிக்கிறது, கணினி பதிவு கோப்புகளை நிர்வகிக்கவும், நெட்வொர்க் இடைமுகத்தின் உள்ளமைவு கோப்புகளைத் திருத்தவும், ஃபயர்வால் விதிகளைச் சேர்க்கவும், நேர மண்டலம் மற்றும் கணினி கடிகாரத்தை உள்ளமைக்கவும், CUPS மூலம் அச்சுப்பொறிகளைச் சேர்க்கவும், நிறுவப்பட்ட பெர்ல் தொகுதிகள் பட்டியலிடவும், ஒரு SSH அல்லது சேவையக DHCP ஐ கட்டமைக்கவும் மற்றும் DNS டொமைன் பதிவு மேலாளரும்.
பின்புறத்தை அகற்ற வெப்மின் 1.930 வருகிறது
வெப்மின் பதிப்பு 1.930 இன் புதிய பதிப்பு தொலைநிலை குறியீடு செயல்படுத்தல் பாதிப்பை தீர்க்க வெளியிடப்பட்டது. இந்த பாதிப்பு பொதுவில் கிடைக்கக்கூடிய சுரண்டல் தொகுதிகள் உள்ளன, என்ன பல மெய்நிகர் யுனிக்ஸ் மேலாண்மை அமைப்புகளை ஆபத்தில் வைக்கிறது.
இயல்புநிலை உள்ளமைவில் பதிப்பு 1.890 (CVE-2019-15231) பாதிக்கப்படக்கூடியது என்று பாதுகாப்பு ஆலோசனை குறிக்கிறது, அதே நேரத்தில் பாதிக்கப்பட்ட பிற பதிப்புகள் "பயனர் கடவுச்சொல்லை மாற்று" விருப்பம் இயக்கப்பட்டிருக்க வேண்டும்.
பாதிப்பு பற்றி
கடவுச்சொல் மீட்டமைப்பு கோரிக்கை படிவ பக்கத்திற்கு ஒரு தீங்கிழைக்கும் http கோரிக்கையை தாக்குபவர் அனுப்பலாம் குறியீட்டை புகுத்த மற்றும் வெப்மின் வலை பயன்பாட்டை எடுத்துக்கொள்ள. பாதிப்பு அறிக்கையின்படி, இந்த குறைபாட்டைப் பயன்படுத்த தாக்குபவருக்கு சரியான பயனர்பெயர் அல்லது கடவுச்சொல் தேவையில்லை.
இந்த குணாதிசயத்தின் இருப்பு என்பது இஇந்த பாதிப்பு ஜூலை 2018 முதல் வெப்மினில் உள்ளது.
தாக்குதலுக்கு வெப்மினுடன் திறந்த நெட்வொர்க் போர்ட் இருக்க வேண்டும் மற்றும் காலாவதியான கடவுச்சொல்லை மாற்றுவதற்கான செயல்பாட்டின் வலை இடைமுகத்தில் செயல்பாடு (இயல்புநிலையாக இது 1.890 கட்டடங்களில் இயக்கப்பட்டது, ஆனால் இது மற்ற பதிப்புகளில் முடக்கப்பட்டுள்ளது).
புதுப்பிப்பு 1.930 இல் சிக்கல் சரி செய்யப்பட்டது.
கடவுச்சொல்_சேஞ்ச்.கி ஸ்கிரிப்டில் சிக்கல் கண்டுபிடிக்கப்பட்டது, இதில் இணைய வடிவத்தில் உள்ளிடப்பட்ட பழைய கடவுச்சொல்லை சரிபார்க்க unix_crypt செயல்பாடு பயன்படுத்தப்படுகிறது, இது பயனரிடமிருந்து பெறப்பட்ட கடவுச்சொல்லை சிறப்பு எழுத்துக்களில் இருந்து தப்பிக்காமல் அனுப்புகிறது.
கிட் களஞ்சியத்தில், இந்த செயல்பாடு Crypt :: UnixCrypt தொகுதியின் இணைப்பாகும் அது ஆபத்தானது அல்ல, ஆனால் குறியீட்டை வழங்கிய சோர்ஸ்ஃபோர்ஜ் கோப்பில், / etc / shadow ஐ நேரடியாக அணுகும் ஒரு குறியீடு அழைக்கப்படுகிறது, ஆனால் ஷெல் கட்டமைப்போடு அவ்வாறு செய்கிறது.
தாக்க, «| the குறியீட்டைக் குறிக்கவும் பழைய கடவுச்சொல்லுடன் புலத்தில் பின்வரும் குறியீடு சேவையகத்தில் ரூட் சலுகைகளுடன் இயங்கும்.
வெப்மின் டெவலப்பர்களின் அறிக்கையின்படி, திட்ட உள்கட்டமைப்பின் சமரசத்தின் விளைவாக தீங்கிழைக்கும் குறியீடு மாற்றப்பட்டது.
விவரங்கள் இன்னும் அறிவிக்கப்படவில்லை, எனவே ஹேக் சோர்ஸ்ஃபோர்ஜில் ஒரு கணக்கைக் கட்டுப்படுத்துவதில் மட்டுப்படுத்தப்பட்டதா அல்லது வெப்மின் சட்டசபை மற்றும் மேம்பாட்டு உள்கட்டமைப்பின் பிற கூறுகளை பாதித்ததா என்பது தெளிவாக இல்லை.
இந்த பிரச்சினை யூசர்மின் கட்டமைப்பையும் பாதித்தது. தற்போது அனைத்து துவக்க கோப்புகளும் Git இலிருந்து மீண்டும் உருவாக்கப்பட்டுள்ளன.