OpenBSD-də 4 ciddi sistem boşluğu aşkar edilib

OpenBSD-də 4 ciddi sistem boşluğu aşkar edilib
23:57 12 Dekabr 2019
Ölkə mətbuatı
A- A+

OpenBSD-də 4 ciddi sistem boşluğu aşkar edilərək aradan qaldrılıb. Həmin sistem boşluqlarından 3-ü sistemdəki imtiyazları yüksəltməyə, 1-i isə autentifikasiyadan yan keçməyə imkan verir. Sözügedən sistem boşluqları Qualys Research Labs şirkəti tərəfindən aşkar edilib. Şirkət problemlər barəsində məlumatı hələ keçən həftənin sonunda tərtibatçılara məlumat vermişdi. Tərtibatçılar isə öz növbələrində problemləri aradan qaldırmış patchlar hazırlayblar: OpenBSD 6.5 və OpenBSD 6.6 keçən həftə təqdim olunmuşdu.

Milli.Az technote.az-a istinadən bildirir ki, OpenBSD-də aşkar edilmiş 4 sistem boşluğundan ən ciddisi isə CVE-2019-19521 identifikatorlu boşluq olub. Bu boşluq isə autentifikasiyadan yan keçməyə imkan verirdi. Problemin kökü istifadəçinin smtpd, ldapd və raiusd vasitəsilə daxil olması zamanı onun təqdim etdiyi username-in OpenBSD tərəfindən necə pars etməsindədir. Beləliklə hacker istifadəçinin adını "-schallenge" və "-schallenge: passwd" şəklində istifadəçinin adını qeyd edərək sistem boşluqlu xidmətləri əldə edə bilirlər.

Kiberhücum istifadəçi adının əvvəlində "-" simvolundan istifadə zamanı baş verir. Bu üsul isə OpenBSD-ni aldadır və sistem bunu artıq istifadəçi adı kimi deyil, əmr sətri funksiyası hesab edərək S/Key emal prosesinə sorğu kimi qəbul edir. S/Key isə nominal şəkildə dəstəkləndiyi üçün uğurlu şəkildə avtomatik autentifikasiya reallaşdırılır. Aşkar edilmiş digər 3 sistem boşluğu (CVE-2019-19520, CVE-2019-19522 və CVE-2019-19519)  isə imtiyazların lokal səviyyədə yüksəlməsini əhatə edir. Aşkar edilmiş bütün sistem boşluqları üçün həmçinin PoC exploitlər də təqdim olunublar.

Milli.Az


Xəbərin orijinal ünvanı: https://news.milli.az/interest/809297.html

Şahid olduğunuz hadisələrin video və ya fotosunu çəkərək bizə göndərin:
0552252950 (Whatsapp)

BU KATEQORİYADAN DİGƏR XƏBƏRLƏR