নেটওয়ার্ক ম্যানেজার ভিপিএনসি ব্যবহারকারীর নাম প্রিভিলেজ এসক্লেশন ভলনেবিলিটি - অ্যাপ্লিকেশনস ডট কম দ্বারা সংক্রামিত

নেটওয়ার্ক ম্যানেজার ভিপিএনসি ব্যবহারকারীর নাম প্রিভিলেজ এসকেলেশন ভলনেবিলিটি দ্বারা সংক্রামিত

সুরক্ষা / নেটওয়ার্ক ম্যানেজার ভিপিএনসি ব্যবহারকারীর নাম প্রিভিলেজ এসকেলেশন ভলনেবিলিটি দ্বারা সংক্রামিত 1 মিনিট পঠিত

নেটওয়ার্ক ব্যবস্থাপক ভিপিএনসি প্লাগইনে একটি ব্যবহারকারীর সুবিধাসমূহ বাড়ানোর দুর্বলতা পাওয়া গেছে। এই ইনজেকশন দুর্বলতা রুট বিশেষাধিকার অ্যাক্সেস পেতে প্রোগ্রামটির মেটাস্পিল্ট মডিউল দ্বারা ব্যবহৃত হয়।

এটি ডেনিস অ্যাডনজাকোভিচের দ্বারা আবিষ্কার করা হয়েছিল যিনি আবিষ্কার করেছিলেন যে নেটওয়ার্ক-ম্যানেজারে ভিপিএনসি সহায়তার জন্য নেটওয়ার্ক-ম্যানেজার-ভিপিএনসি প্লাগইনটি কনফিগারেশন স্কিমটিতে একটি পাসওয়ার্ড সহায়ক সাহায্যকারী পরামিতি ইনজেক্ট করার জন্য একটি নতুন লাইন চরিত্র ব্যবহার করে একটি বিশেষাধিকারের বর্ধনের ঝুঁকির সাথে ব্যবহার করা যেতে পারে যা তথ্য পৌঁছে দেওয়ার জন্য দায়ী responsible ভিপিএনসি এই দুর্বলতা একটি ঝুঁকি তৈরি করেছে কারণ এটি স্থানীয় ব্যবহারকারীর দ্বারা এটির ব্যবহার করে সিস্টেমের সেটিংস পরিবর্তন করতে ও মূল অধিকার সহ স্বেচ্ছাসেবক কমান্ড কার্যকর করতে ইচ্ছুক অ্যাক্সেস পেতে দেয়।

অনুরূপ দুর্বলতার সূচকগুলি 11 এ প্রথম আবিষ্কার হয়েছিল^তমজুলাই, 2018. এর পরে জিনোম সুরক্ষার সাথে যোগাযোগ করা হয়েছিল এবং দু'দিন পরে 13 তারিখে ফার্মের কাছ থেকে একটি স্বীকৃতি প্রাপ্ত হয়েছিল^তমজুলাই এর। CVE সনাক্তকরণ লেবেল CVE-2018-10900 20 এ দুর্বলতার জন্য বরাদ্দ করা হয়েছিল^তমদুর্বলতার দ্বারা এগিয়ে আসা উদ্বেগগুলি প্রশমিত করার জন্য জুলাই এবং নেটওয়ার্ক ম্যানেজার ভিপিএনসি সংস্করণ ১.২.। প্রকাশিত হয়েছিল পরের দিন। একটি পরামর্শদাতা 21 এ জ্নোম সিকিউরিটি প্রকাশ করেছিল^{স্ট্যান্ড}জুলাই হিসাবে।

দেখে মনে হচ্ছে যে এই একই দুর্বলতাটি সম্প্রতি বিভিন্ন উপায়ে মরফিং, মানিয়ে নেওয়া এবং পুনর্নির্মাণ। এই দুর্বলতার সর্বাধিক সাম্প্রতিক প্রতিবেদনটি ব্যবহারকারীর সুবিধাসমূহ বাড়ানোর ক্ষেত্রে মেটাসপিল্ট মডিউলটি একটি নতুন লাইন ইনজেকশন দুর্বলতা সেট করে এবং একটি ভিপিএন সংযোগের জন্য চলমান ব্যবহারকারীর নাম ব্যবহার করে যাতে সেটিংসে পাসওয়ার্ড সহায়ক কনফিগারেশন প্রক্রিয়াটি প্রবেশ করতে পারে এবং সংযোগ নিজেই চ্যানেল।

রুট লোকেশন অ্যাক্সেসের সাথে পাসওয়ার্ড সহায়কটি যেভাবে অন্তর্ভুক্ত রয়েছে তার কারণে, সংযোগটি ভিপিএন নেটওয়ার্ক সিস্টেমে হস্তক্ষেপের জন্য উন্নত অনুমতি প্রদান করার পরে এটি রুট হিসাবে নেটওয়ার্ক ম্যানেজার দ্বারা চালিত হয়।

এই দুর্বলতাটি নেটওয়ার্ক ম্যানেজার ভিপিএনসি সংস্করণ 1.2 এবং তার বেশি পুরানোগুলিকে প্রভাবিত করতে দেখা গেছে। এখানে উল্লিখিত বিশেষ মেটাস্পিল্ট মডিউলটি ভিপিএনসির নিম্নলিখিত সংস্করণগুলিতে পর্যবেক্ষণ করা হয়েছে: ডেবিয়ান 9.0.0 (x64) এর উপর 2.2.4-1 এবং উবুন্টু লিনাক্স 16.04.4 (x64) এর 1.1.93-1।

ট্যাগ ভিপিএন