تسمح الثغرة الأمنية الخطيرة التي تؤثر على معظم توزيعات Linux بمجموعات التمهيد
تسمح الثغرة الأمنية الخطيرة التي تؤثر على معظم توزيعات Linux بمجموعات التمهيد
تكبير
الشكل><ص>
لينكس
المطورين
نكون
في
ال
عملية
ل
رقعة
أ
خطورة عالية
هشاشة
ان،
في
تأكيد
قضية،
يسمح
ال
منشأة
ل
البرمجيات الخبيثة
ان
قصير
الى
ال
البرامج الثابتة
مستوى،
إعطاء
الالتهابات
تنضم
الى
ال
الأعمق
القطع
ل
أ
جهاز
أو
هم
صعب
الى
يكشف
أو
احذف.
<ص>
ال
هشاشة
يتواجد
في
سند او ركيزة،
أيّ
في
ال
سياق
ل
لينكس
شرق
أ
ضغير
عنصر
ان
قصير
في
ال
البرامج الثابتة
مبكر
في
ال
حذاء طويل
عملية
قبل
ال
التشغيل
نظام
الى
يبدأ.
أكثر
بالتحديد،
ال
سند او ركيزة
مصاحب
افتراضيًا
الجميع
لينكس
توزيعات
قِطَع
أ
مهم
دور
في
يؤمن
حذاء طويل،
أ
حماية
مبني
في
معظم
حديث
المعلوميات
الأجهزة
الى
يضمن
كل
وصلة
في
ال
حذاء طويل
عملية
يأتي
منذ
أ
التحقق،
الثقة
المورد.
ناجح
استغلال
ل
ال
هشاشة
يسمح
المهاجمين
الى
إبطال مفعول
هذا
آلية
بواسطة
تنفيذ
ضارة
البرامج الثابتة
الى
ال
في أقرب وقت
خطوات
ل
ال
حذاء طويل
عملية
قبل
ال
موحد
لمط
البرامج الثابتة
واجهه المستخدم
البرامج الثابتة
الى
تكلفة
و
سلمت
عاجز
يتحكم
الى
ال
التشغيل
النظام.
<ص>
ال
هشاشة،
متابعة
مثل
CVE-2023-40547،
شرق
ما هذا
معروف
مثل
أ
متعادل
تجاوز,
أ
الترميز
حشرة
ان
يسمح
المهاجمين
الى
ينفذ
مشفرة
ل
هُم
خيار.
هو
يتواجد
في
أ
جزء
ل
ال
سند او ركيزة
ان
عملية
بدء
في الأعلى
منذ
أ
وسط
الخادم
على
أ
شبكة
باستعمال
ال
حتى
HTTP
ان
ال
الإنترنت
شرق
قاعدة
على.
المهاجمين
يمكن
يستغل
ال
تنفيذ التعليمات البرمجية
هشاشة
في
متنوع
سيناريوهات,
افتراضيًا
الجميع
التالي
قليلة
استمارة
ل
ناجح
مساومة
ل
أيضاً
ال
هدف
جهاز
أو
ال
الخادم
أو
شبكة
ال
جهاز
أحذية
من.
<ص>
"أ
مهاجم
سيكون
يحتاج
الى
يكون
قادر
الى
تقييد
أ
نظام
في
بدء
منذ
HTTP
لو
إنها
لا
بالفعل
لكى يفعل
لذا،
و
أيضاً
يكون
في
أ
موضع
الى
يجري
ال
HTTP
الخادم
في
سؤال
أو
ميتم
مرور
الى
هو،"
ماثيو
غاريت،
أ
حماية
مطور
و
أ
ل
ال
إبداعي
سند او ركيزة
المؤلفون،
كتب
في
أ
على الخط
مقابلة.
"أ
مهاجم
(جسديا
الحالي
أو
من
الى
بالفعل
مساومة
جذر
على
ال
نظام)
استطاع
ليستخدم
هذا
الى
تخريب
يؤمن
حذاء طويل
(يضيف
أ
جديد
حذاء طويل
مدخل
الى
أ
الخادم
هم
يتحكم،
مساومة
سند او ركيزة،
ينفذ
اِعتِباطِيّ
مشفرة). »
<ص>
أعلن
بشكل مختلف،
هؤلاء
سيناريوهات
تشمل:
يكتسب
ال
قدرة
الى
مساومة
أ
الخادم
أو
يؤدي
أ
الخصم في الوسط
تقليد
ل
هو
الى
هدف
أ
جهاز
إنها
بالفعل
تم تكوينه
الى
حذاء طويل
باستعمال
HTTP
بالفعل
نأخذ
بدني
تنضم
الى
أ
جهاز
أو
يكسب
إداري
يتحكم
بواسطة
المشغل أو العامل
أ
منفصل
هشاشة.
<ص>
في حين أن
هؤلاء
عوائق
نكون
انحدار،
هم
بواسطة
لا
وسائل
مستحيل،
خصوصًا
ال
قدرة
الى
مساومة
أو
التقليد
أ
الخادم
ان
أبلغت
مع
الأجهزة
على
HTTP،
أيّ
شرق
غير مشفرة
و
يتطلب
لا
المصادقة.
هؤلاء
خاص
سيناريوهات
استطاع
يثبت
مفيد
لو
أ
مهاجم
الى
بالفعل
فاز
قليلة
مستوى
ل
تنضم
في الداخل
أ
شبكة
و
شرق
شاهد
الى
يأخذ
يتحكم
ل
متصل
المستخدم النهائي
الأجهزة.
هؤلاء
سيناريوهات,
لكن،
نكون
إلى حد كبير
تصحيح
لو
الخوادم
ليستخدم
HTTPS،
ال
متغيرة
ل
HTTP
ان
يتطلب
أ
الخادم
الى
مصادقة
نفسه.
في
ان
قضية،
ال
مهاجم
سيكون
أولاً
يمتلك
الى
لتزوير
ال
رقمي
شهادة
ال
الخادم
الاستخدامات
الى
يثبت
إنها
مسموح
الى
يمد
حذاء طويل
البرامج الثابتة
الى
الأجهزة.
<ص>
ال
قدرة
الى
يكسب
بدني
تنضم
الى
أ
جهاز
شرق
أيضا
صعب
و
شرق
على نطاق واسع
يعتبر
مثل
أرض
ل
مع مراعاة
هو
الى
يكون
بالفعل
مساومة.
و،
ل
دورة،
بالفعل
الحصول على
إداري
يتحكم
عبر
المشغل أو العامل
أ
منفصل
هشاشة
في
ال
التشغيل
نظام
شرق
صعب
و
يسمح
المهاجمين
الى
يصل
الجميع
أنواع
ل
ضارة
الأهداف.
ان
قال،
الحصول على
ال
قدرة
الى
ينفذ
مشفرة
خلال
ال
حذاء طويل
عملية،
قبل
ال
ابتدائي
التشغيل
نظام
المغادرة،
يشكل
أ
رئيسي
التصعيد
ل
لا يهم
تنضم
أ
مهاجم
بالفعل
الى.
هو
وسائل
ال
مهاجم
يمكن
إبطال مفعول
كثيراً
الأشكال
ل
فترة
حماية
مصممة
الى
يكشف
التنازلات.
مثل
هذه،
ال
هجوم
يسمح
ل
ال
منشأة
ل
أ
مجموعة انطلاق،
ال
شرط
ل
البرمجيات الخبيثة
ان
قصير
قبل
الى
ال
نظام التشغيل.
خلافا ل
كثيراً
مجموعات البداية,
لكن،
ال
أ
مخلوق
بواسطة
المشغل أو العامل
CVE-2023-40547
متعود
ينجو
ال
مسح
أو
إعادة التنسيق
ل
أ
صعب
قيادة.
<ص>
غاريت
وأوضح:
<ص>
في
ذ...
تكبير
الشكل><ص>
لينكس
المطورين
نكون
في
ال
عملية
ل
رقعة
أ
خطورة عالية
هشاشة
ان،
في
تأكيد
قضية،
يسمح
ال
منشأة
ل
البرمجيات الخبيثة
ان
قصير
الى
ال
البرامج الثابتة
مستوى،
إعطاء
الالتهابات
تنضم
الى
ال
الأعمق
القطع
ل
أ
جهاز
أو
هم
صعب
الى
يكشف
أو
احذف.
<ص>
ال
هشاشة
يتواجد
في
سند او ركيزة،
أيّ
في
ال
سياق
ل
لينكس
شرق
أ
ضغير
عنصر
ان
قصير
في
ال
البرامج الثابتة
مبكر
في
ال
حذاء طويل
عملية
قبل
ال
التشغيل
نظام
الى
يبدأ.
أكثر
بالتحديد،
ال
سند او ركيزة
مصاحب
افتراضيًا
الجميع
لينكس
توزيعات
قِطَع
أ
مهم
دور
في
يؤمن
حذاء طويل،
أ
حماية
مبني
في
معظم
حديث
المعلوميات
الأجهزة
الى
يضمن
كل
وصلة
في
ال
حذاء طويل
عملية
يأتي
منذ
أ
التحقق،
الثقة
المورد.
ناجح
استغلال
ل
ال
هشاشة
يسمح
المهاجمين
الى
إبطال مفعول
هذا
آلية
بواسطة
تنفيذ
ضارة
البرامج الثابتة
الى
ال
في أقرب وقت
خطوات
ل
ال
حذاء طويل
عملية
قبل
ال
موحد
لمط
البرامج الثابتة
واجهه المستخدم
البرامج الثابتة
الى
تكلفة
و
سلمت
عاجز
يتحكم
الى
ال
التشغيل
النظام.
<ص>
ال
هشاشة،
متابعة
مثل
CVE-2023-40547،
شرق
ما هذا
معروف
مثل
أ
متعادل
تجاوز,
أ
الترميز
حشرة
ان
يسمح
المهاجمين
الى
ينفذ
مشفرة
ل
هُم
خيار.
هو
يتواجد
في
أ
جزء
ل
ال
سند او ركيزة
ان
عملية
بدء
في الأعلى
منذ
أ
وسط
الخادم
على
أ
شبكة
باستعمال
ال
حتى
HTTP
ان
ال
الإنترنت
شرق
قاعدة
على.
المهاجمين
يمكن
يستغل
ال
تنفيذ التعليمات البرمجية
هشاشة
في
متنوع
سيناريوهات,
افتراضيًا
الجميع
التالي
قليلة
استمارة
ل
ناجح
مساومة
ل
أيضاً
ال
هدف
جهاز
أو
ال
الخادم
أو
شبكة
ال
جهاز
أحذية
من.
<ص>
"أ
مهاجم
سيكون
يحتاج
الى
يكون
قادر
الى
تقييد
أ
نظام
في
بدء
منذ
HTTP
لو
إنها
لا
بالفعل
لكى يفعل
لذا،
و
أيضاً
يكون
في
أ
موضع
الى
يجري
ال
HTTP
الخادم
في
سؤال
أو
ميتم
مرور
الى
هو،"
ماثيو
غاريت،
أ
حماية
مطور
و
أ
ل
ال
إبداعي
سند او ركيزة
المؤلفون،
كتب
في
أ
على الخط
مقابلة.
"أ
مهاجم
(جسديا
الحالي
أو
من
الى
بالفعل
مساومة
جذر
على
ال
نظام)
استطاع
ليستخدم
هذا
الى
تخريب
يؤمن
حذاء طويل
(يضيف
أ
جديد
حذاء طويل
مدخل
الى
أ
الخادم
هم
يتحكم،
مساومة
سند او ركيزة،
ينفذ
اِعتِباطِيّ
مشفرة). »
<ص>
أعلن
بشكل مختلف،
هؤلاء
سيناريوهات
تشمل:
يكتسب
ال
قدرة
الى
مساومة
أ
الخادم
أو
يؤدي
أ
الخصم في الوسط
تقليد
ل
هو
الى
هدف
أ
جهاز
إنها
بالفعل
تم تكوينه
الى
حذاء طويل
باستعمال
HTTP
بالفعل
نأخذ
بدني
تنضم
الى
أ
جهاز
أو
يكسب
إداري
يتحكم
بواسطة
المشغل أو العامل
أ
منفصل
هشاشة.
<ص>
في حين أن
هؤلاء
عوائق
نكون
انحدار،
هم
بواسطة
لا
وسائل
مستحيل،
خصوصًا
ال
قدرة
الى
مساومة
أو
التقليد
أ
الخادم
ان
أبلغت
مع
الأجهزة
على
HTTP،
أيّ
شرق
غير مشفرة
و
يتطلب
لا
المصادقة.
هؤلاء
خاص
سيناريوهات
استطاع
يثبت
مفيد
لو
أ
مهاجم
الى
بالفعل
فاز
قليلة
مستوى
ل
تنضم
في الداخل
أ
شبكة
و
شرق
شاهد
الى
يأخذ
يتحكم
ل
متصل
المستخدم النهائي
الأجهزة.
هؤلاء
سيناريوهات,
لكن،
نكون
إلى حد كبير
تصحيح
لو
الخوادم
ليستخدم
HTTPS،
ال
متغيرة
ل
HTTP
ان
يتطلب
أ
الخادم
الى
مصادقة
نفسه.
في
ان
قضية،
ال
مهاجم
سيكون
أولاً
يمتلك
الى
لتزوير
ال
رقمي
شهادة
ال
الخادم
الاستخدامات
الى
يثبت
إنها
مسموح
الى
يمد
حذاء طويل
البرامج الثابتة
الى
الأجهزة.
<ص>
ال
قدرة
الى
يكسب
بدني
تنضم
الى
أ
جهاز
شرق
أيضا
صعب
و
شرق
على نطاق واسع
يعتبر
مثل
أرض
ل
مع مراعاة
هو
الى
يكون
بالفعل
مساومة.
و،
ل
دورة،
بالفعل
الحصول على
إداري
يتحكم
عبر
المشغل أو العامل
أ
منفصل
هشاشة
في
ال
التشغيل
نظام
شرق
صعب
و
يسمح
المهاجمين
الى
يصل
الجميع
أنواع
ل
ضارة
الأهداف.
ان
قال،
الحصول على
ال
قدرة
الى
ينفذ
مشفرة
خلال
ال
حذاء طويل
عملية،
قبل
ال
ابتدائي
التشغيل
نظام
المغادرة،
يشكل
أ
رئيسي
التصعيد
ل
لا يهم
تنضم
أ
مهاجم
بالفعل
الى.
هو
وسائل
ال
مهاجم
يمكن
إبطال مفعول
كثيراً
الأشكال
ل
فترة
حماية
مصممة
الى
يكشف
التنازلات.
مثل
هذه،
ال
هجوم
يسمح
ل
ال
منشأة
ل
أ
مجموعة انطلاق،
ال
شرط
ل
البرمجيات الخبيثة
ان
قصير
قبل
الى
ال
نظام التشغيل.
خلافا ل
كثيراً
مجموعات البداية,
لكن،
ال
أ
مخلوق
بواسطة
المشغل أو العامل
CVE-2023-40547
متعود
ينجو
ال
مسح
أو
إعادة التنسيق
ل
أ
صعب
قيادة.
<ص>
غاريت
وأوضح:
<ص>
في
ذ...