LineageOS மொபைல் தளத்தின் உருவாக்குநர்கள் (சயனோஜென்மோட்டை மாற்றிய ஒன்று) அவர்கள் எச்சரித்தனர் அடையாளம் பற்றி உங்கள் உள்கட்டமைப்பில் அங்கீகரிக்கப்படாத அணுகலிலிருந்து எஞ்சியிருக்கும் தடயங்கள். மே 6 ஆம் தேதி காலை 3 மணிக்கு (எம்.எஸ்.கே), தாக்குபவர் பிரதான சேவையகத்திற்கான அணுகலைப் பெற முடிந்தது இதுவரை இணைக்கப்படாத பாதிப்புகளை சுரண்டுவதன் மூலம் சால்ட்ஸ்டாக் மையப்படுத்தப்பட்ட உள்ளமைவு மேலாண்மை அமைப்பு.
தாக்குதல் பாதிக்கப்படவில்லை என்று மட்டுமே தெரிவிக்கப்படுகிறது டிஜிட்டல் கையொப்பங்களை உருவாக்குவதற்கான விசைகள், உருவாக்க அமைப்பு மற்றும் தளத்தின் மூல குறியீடு. சால்ட்ஸ்டாக் மூலம் நிர்வகிக்கப்படும் முக்கிய உள்கட்டமைப்பிலிருந்து முற்றிலும் பிரிக்கப்பட்ட ஒரு ஹோஸ்டில் விசைகள் வைக்கப்பட்டன மற்றும் தொழில்நுட்ப காரணங்களுக்காக கூட்டங்கள் ஏப்ரல் 30 அன்று நிறுத்தப்பட்டன.
Status.lineageos.org பக்கத்தில் உள்ள தரவிலிருந்து ஆராயும்போது, டெவலப்பர்கள் ஏற்கனவே கெரிட்டின் குறியீடு மறுஆய்வு அமைப்பு, வலைத்தளம் மற்றும் விக்கி மூலம் சேவையகத்தை மீட்டெடுத்துள்ளனர். உருவாக்கங்களுடன் சேவையகங்கள் (builds.lineageos.org), தி போர்ட்டலைப் பதிவிறக்குக கோப்புகளின் (download.lineageos.org), அஞ்சல் சேவையகங்கள் மற்றும் கண்ணாடிகளுக்கு பகிர்தலை ஒருங்கிணைக்க ஒரு அமைப்பு தற்போது முடக்கப்பட்டுள்ளது.
தீர்ப்பைப் பற்றி
ஒரு புதுப்பிப்பு ஏப்ரல் 29 அன்று வெளியிடப்பட்டது சால்ட்ஸ்டாக் 3000.2 இயங்குதளத்திலிருந்து நான்கு நாட்களுக்குப் பிறகு (மே 2) இரண்டு பாதிப்புகள் நீக்கப்பட்டன.
பிரச்சினை உள்ளது இதில், புகாரளிக்கப்பட்ட பாதிப்புகளில், ஒன்று ஏப்ரல் 30 அன்று வெளியிடப்பட்டது மற்றும் மிக உயர்ந்த ஆபத்துக்கு நியமிக்கப்பட்டது (தகவல்களை கண்டுபிடித்து திட்டுகள் அல்லது பிழை திருத்தங்கள் வெளியிடப்பட்ட பல நாட்கள் அல்லது வாரங்களுக்குப் பிறகு இங்கு வெளியிடுவதன் முக்கியத்துவம்).
பிழை ஒரு அங்கீகரிக்கப்படாத பயனரை ரிமோட் குறியீடு செயல்படுத்தலை கட்டுப்பாட்டு ஹோஸ்டாக (உப்பு-மாஸ்டர்) செய்ய அனுமதிக்கிறது மற்றும் அதன் மூலம் நிர்வகிக்கப்படும் அனைத்து சேவையகங்களும்.
நெட்வொர்க் போர்ட் 4506 (சால்ட்ஸ்டாக்கை அணுக) ஃபயர்வால் வெளிப்புற கோரிக்கைகளுக்காக தடுக்கப்படவில்லை என்பதாலும், தாக்குதல் நடத்தியவர் லீனேஜ் சால்ட்ஸ்டாக் மற்றும் எக்ஸ்ப்ளூடரோவாட் டெவலப்பர்கள் நிறுவ முயற்சிக்கும் முன் செயல்பட காத்திருக்க வேண்டியிருந்தது என்பதாலும் இந்த தாக்குதல் சாத்தியமானது. தோல்வியை சரிசெய்ய ஒரு புதுப்பிப்பு.
அனைத்து சால்ட்ஸ்டாக் பயனர்களும் தங்கள் கணினிகளை அவசரமாக புதுப்பித்து, ஹேக்கிங்கின் அறிகுறிகளை சரிபார்க்க அறிவுறுத்தப்படுகிறார்கள்.
வெளிப்படையாக, சால்ட்ஸ்டாக் வழியாக தாக்குதல்கள் லீனேஜோஸை பாதிக்கும் வகையில் மட்டுமல்ல மற்றும் பகலில் பரவலாகிவிட்டது, சால்ட்ஸ்டேக்கைப் புதுப்பிக்க நேரம் இல்லாத பல பயனர்கள் சுரங்க ஹோஸ்டிங் குறியீடு அல்லது பின்புற கதவுகளால் தங்கள் உள்கட்டமைப்புகள் சமரசம் செய்யப்படுவதைக் கவனித்தனர்.
இதேபோன்ற ஹேக்கையும் அவர் தெரிவிக்கிறார் உள்ளடக்க மேலாண்மை அமைப்பு உள்கட்டமைப்பு பேய், என்னஇது கோஸ்ட் (புரோ) தளங்கள் மற்றும் பில்லிங்கை பாதித்தது (கிரெடிட் கார்டு எண்கள் பாதிக்கப்படவில்லை என்று கூறப்படுகிறது, ஆனால் கோஸ்ட் பயனர்களின் கடவுச்சொல் ஹாஷ்கள் தாக்குபவர்களின் கைகளில் விழக்கூடும்).
- முதல் பாதிப்பு (CVE-2020-11651) உப்பு-மாஸ்டர் செயல்பாட்டில் ClearFuncs வகுப்பின் முறைகளை அழைக்கும் போது சரியான காசோலைகள் இல்லாததால் இது ஏற்படுகிறது. பாதிப்பு ஒரு தொலைநிலை பயனரை அங்கீகாரம் இல்லாமல் சில முறைகளை அணுக அனுமதிக்கிறது. குறிப்பாக, சிக்கலான முறைகள் மூலம், தாக்குபவர் மாஸ்டர் சேவையகத்திற்கான ரூட் அணுகலுக்கான டோக்கனைப் பெறலாம் மற்றும் உப்பு-மினியன் டீமானை இயக்கும் சேவை ஹோஸ்ட்களில் எந்த கட்டளையையும் இயக்க முடியும். இந்த பாதிப்பை சரிசெய்யும் ஒரு இணைப்பு 20 நாட்களுக்கு முன்பு வெளியிடப்பட்டது, ஆனால் அதன் பயன்பாடு தோன்றிய பிறகு, கோப்பு ஒத்திசைவு செயலிழப்புகள் மற்றும் குறுக்கீடுகளை ஏற்படுத்திய பின்தங்கிய மாற்றங்கள் இருந்தன.
- இரண்டாவது பாதிப்பு (சி.வி.இ -2020-11652) ClearFuncs வகுப்போடு கையாளுதல்கள் மூலம், ஒரு குறிப்பிட்ட வழியில் வரையறுக்கப்பட்ட பாதைகளை மாற்றுவதன் மூலம் முறைகளை அணுக அனுமதிக்கிறது, இது மாஸ்டர் சேவையகத்தின் FS இல் தன்னிச்சையான கோப்பகங்களுக்கு முழு அணுகலுக்காக ரூட் சலுகைகளுடன் பயன்படுத்தப்படலாம், ஆனால் இதற்கு அங்கீகரிக்கப்பட்ட அணுகல் தேவைப்படுகிறது ( அத்தகைய அணுகலை முதல் பாதிப்பைப் பயன்படுத்தி பெறலாம் மற்றும் இரண்டாவது பாதிப்பைப் பயன்படுத்தி முழு உள்கட்டமைப்பையும் முழுமையாக சமரசம் செய்யலாம்).