ចំណុចរងគ្រោះថ្មីត្រូវរកឃើញភាគច្រើនចេញពីក្រុមហ៊ុនចែកចាយ Linux

November 3, 2018

អ្នកស្រាវជ្រាវសុវត្ថិភាពជនជាតិឥណ្ឌារកឃើញនូវកំហុសឆ្គងដ៏ធ្ងន់ធ្ងរនៅក្នុងកញ្ចប់នៃ X.Org Server package ដែលប៉ះពាល់ទៅដល់ OpenBSD និងក្រុមហ៊ុនចែកចាយនូវ Linux ដូចជា Debian, Ubuntu, CentOS, Red Hat និង Fedora ។

Xorg X server គឺជាការអនុវត្តទៅលើ Open-source ដ៏ពេញនិយមនៃប្រព័ន្ធ X11 system (display server) ដែលផ្តល់នូវបរិយាកាសក្រាហ្វិកកាន់តែទូលាយសម្រាប់ផ្នែក Hardware និង OS Platforms ។ វាគឺជាអន្តរការីនៃអតិថិជន និងអ្នកប្រើប្រាស់កម្មវិធីសម្រាប់គ្រប់គ្រងទៅលើក្រាហ្វិក Displays ។

តាមការបញ្ជាក់នៅក្នុងបង្ហោះនៅក្នុងប្លុកនៅថ្ងៃនេះដោយវិស្វករផ្នែកសុវត្ថិភាពកម្មវិធី Software លោក Narendra Shinde អោយដឹងថា Xorg X server មិនធ្វើការគ្រប់គ្រងដោយត្រឹមត្រូវ និងការផ្ទៀងផ្ទាត់ទៅលើ Arguments សម្រាប់ command-line parameters ចំនួនពីរដែលអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់មានសិទ្ធិកម្រិតទាបក្នុងការប្រតិបត្តិទៅលើកូដដែលគ្រោះថ្នាក់ និងការ Overwrite ទៅលើ File បានដែលជាធម្មតា File ទាំងនេះគឺគ្រប់គ្រងដោយអ្នកប្រើប្រាស់ដែលមានសិទ្ធិជា Roots នោះ។

សម្រាប់កំហុសឆ្គងនេះត្រូវគេហៅថាជា CVE-2018-14665 ដែលប្រកាសបង្ហាញនៅក្នុង X.Org server 1.19.0 package ដែលមិនត្រូវបានគេរកឃើញអ្វីនោះទេនៅក្នុងរយៈពេលជិត 2 ឆ្នាំ ហើយវាអាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារចូលទៅកាន់ Terminal ឬតាមរយៈ SSD ក្នុងការពង្រីកសិទ្ធិគ្រប់គ្រងរបស់ពួកគេនៅលើប្រព័ន្ធគោលដៅនោះ។

កំហុសឆ្គងនៃ parameters ចំនួនពីរនេះគឺ៖

-modulepath: ដើម្បីធ្វើការកំណត់ទៅលើ directory path ក្នុងការស្វែងរកនូវ Xorg server modules

-logfile: ក្នុងការកំណត់ទៅលើ log fileថ្មីសម្រាប់ Xorg server ជំនួសអោយការប្រើប្រាស់នូវ default log file ដែលស្ថិតនៅក្នុង /var/log/Xorg.n.log ដែលនៅលើ Platforms ជាច្រើននោះ

អ្នកស្រាវជ្រាវសុវត្ថិភាពលោក Matthew Hickey ចែករំលែកនូវ proof-of-concept exploit code នៅថ្ងៃនេះនៅលើបណ្តាញសង្គម Twitter របស់លោកថា “អ្នកវាយប្រហារអាចធ្វើការគ្រប់គ្រងទៅលើប្រព័ន្ធដែលឆ្លងបាននៅក្នុងការប្រើប្រាស់នូវ 3 commands ឬតិចជាងនេះ។”

ពេលនេះ X.Org បញ្ចេញនូវ X.Org Server version 1.20.3 ជាមួយនឹង Patches សុវត្ថិភាពសម្រាប់ដោះស្រាយទៅលើបញ្ហានេះហើយ។ សម្រាប់អ្នកចែកចាយជាច្រើនដូចជា OpenBSD, Debian, Ubuntu, CentOS, Red Hat, និង Fedora ក៏ចេញនូវសេចក្តីជូនដំណឹងដើម្បីបញ្ជាក់អំពីបញ្ហានេះ និងធ្វើការនៅលើ Patch សម្រាប់អាប់ដេតផងដែរ៕