உபுண்டுவில் உள்ள சிஸ்டம்-தீர்க்கப்பட்டதில் ஒரு முக்கியமான குறைபாடு கண்டுபிடிக்கப்பட்டுள்ளது, இது சிறப்பாக வடிவமைக்கப்பட்ட டி.சி.பி பேலோட் மூலம் தூண்ட முடியும். கேனனிகலில் உபுண்டு டெவலப்பர் கிறிஸ் கோல்சன் சமீபத்தில் இந்த லினக்ஸ் பாதிப்பை கண்டுபிடித்தார், இது பிரபலமான OS ஐ இயக்கும் தொலைதூர ஹேக் இயந்திரங்களுக்கு பயன்படுத்தப்படலாம்.
குறைபாடு, என அடையாளம் காணப்பட்டுள்ளது CVE-2017-9445, உண்மையில் வசிக்கிறது 'dns_packet_New' இன் செயல்பாடு systemd, லினக்ஸ் இயக்க முறைமைகளுக்கான init அமைப்பு மற்றும் சேவை மேலாளர். இந்த குறைபாட்டின் மூலம், தொலைநிலை தாக்குபவர் இலக்கு கணினிகளில் தீங்கிழைக்கும் குறியீட்டை செயல்படுத்த இடையக வழிதல் பாதிப்பைத் தூண்டக்கூடும். டிஎன்எஸ் பதில்.
ஒரு படி ஆலோசனைக் ஜூன் 27 அன்று வெளியிடப்பட்டது, சிறப்பாக வடிவமைக்கப்பட்ட தீங்கிழைக்கும் டிஎன்எஸ் பதிலானது, தாக்குதல் கட்டுப்பாட்டாளர் கட்டுப்பாட்டில் உள்ள டிஎன்எஸ் சேவையில் ஹோஸ்ட்பெயரைத் தேட கணினி முயற்சிக்கும் ஒவ்வொரு முறையும் 'சிஸ்டம்-தீர்க்கப்பட்ட' நிரலை தொலைவிலிருந்து செயலிழக்கச் செய்யலாம். இறுதியில், பெரிய டிஎன்எஸ் பதில் இடையகத்தை நிரம்பி வழிகிறது, இது தொலைதூர குறியீடு செயலாக்கத்திற்கு வழிவகுக்கும் நினைவகத்தை மேலெழுத தாக்குபவர் அனுமதிக்கிறது. இதன் பொருள் தாக்குதல் செய்பவர்கள் தங்கள் தீய டிஎன்எஸ் சேவை வழியாக இலக்கு கணினி அல்லது சேவையகத்தில் எந்த தீம்பொருளையும் தொலைவிலிருந்து இயக்க முடியும்.
Systemd- தீர்க்கப்பட்ட சில அளவுகள் dns_packet_new க்கு அனுப்பப்பட்டதால், அது மிகவும் சிறியதாக இருக்கும் இடையகத்தை ஒதுக்கக்கூடும். ஒரு பக்கம்-சீரமைக்கப்பட்ட எண் - sizeof (DnsPacket) + sizeof (iphdr) + sizeof (udphdr) இதைச் செய்யும் - எனவே, x86 இல் இது ஒரு பக்கம் சீரமைக்கப்பட்ட எண்ணாக இருக்கும் - 80. எ.கா., x4016 இல் 86 அளவுடன் dns_packet_New ஐ அழைக்கிறது 4096 பைட்டுகள் ஒதுக்கீடு செய்யப்படும், ஆனால் இதில் 108 பைட்டுகள் DnsPacket struct க்கானவை. ” நியமனத்தின் பாதுகாப்பு ஆலோசனையைப் படிக்கிறது.
"தீங்கிழைக்கும் டிஎன்எஸ் சேவையகம் சிறப்பாக வடிவமைக்கப்பட்ட பதிலளிப்பதன் மூலம் இதைப் பயன்படுத்த முடியும் TCP பேலோட் மிகச் சிறியதாக இருக்கும் ஒரு இடையகத்தை ஒதுக்குவதில் சிஸ்டம்-தீர்க்கப்படவும், அதன் முடிவில் தன்னிச்சையான தரவை எழுதவும் ”என்று கிறிஸ் கோல்சன் விளக்கினார்.
கோல்சனின் கூற்றுப்படி, ஜூன் 223 இல் சிஸ்டம் பதிப்பு 2015 அறிமுகப்படுத்தப்பட்டதிலிருந்து இந்த பாதிப்பு இருந்தது, மேலும் இந்த ஆண்டு மார்ச் மாதம் தொடங்கப்பட்ட வி 23 உட்பட அனைத்து அடுத்தடுத்த பதிப்புகளையும் பாதிக்கிறது.
பாதுகாப்பு இணைப்புகள்:
ஆம் பாதுகாப்பு அறிக்கை, உபுண்டு 17.04 மற்றும் 16.10 பதிப்புகள் மற்றும் அதன் அனைத்து அதிகாரப்பூர்வ வழித்தோன்றல்களையும் சிஸ்டம் பாதிப்பு பாதிக்கிறது என்று கேனனிகல் கூறுகிறது. சிக்கலைத் தீர்க்க பாதுகாப்பு இணைப்புகள் வெளியிடப்பட்டுள்ளன, எனவே லினக்ஸ் பயனர்கள் மற்றும் கணினி நிர்வாகிகள் அவற்றை நிறுவவும் உடனடியாக தங்கள் லினக்ஸ் கணினிகளைப் புதுப்பிக்கவும் பரிந்துரைக்கப்படுகிறார்கள்.
உபுண்டு 9 பயனர்கள் புதுப்பிக்க வேண்டும் க்கு systemd 232-21ubuntu5 மற்றும் உபுண்டு 9 பயனர்கள் systemd 231-9புண்டு 5.