नेटवर्क मैनेजर वीपीएनसी यूजरनेम प्रिविलेज एस्केलेशन भेद्यता से संक्रमित है

समाचार
सुरक्षा / नेटवर्क मैनेजर वीपीएनसी यूजरनेम प्रिविलेज एस्केलेशन भेद्यता से संक्रमित है 1 मिनट पढ़ा

नेटवर्क प्रबंधक VPNC प्लगइन में उपयोगकर्ता नाम विशेषाधिकार वृद्धि भेद्यता पाई गई है। रूट विशेषाधिकार पहुँच प्राप्त करने के लिए इस इंजेक्शन भेद्यता को प्रोग्राम के मेटस्पॉइल मॉड्यूल द्वारा शोषण किया जाता है।



यह डेनिस अदनजाकोविक द्वारा खोजा गया था जिन्होंने पाया कि NetworkManager में वीपीएनसी समर्थन के लिए नेटवर्क-मैनेजर-वीपीएनसी प्लगइन का उपयोग विशेषाधिकार योजना में एक पासवर्ड हेल्पर पैरामीटर को इंजेक्ट करने के लिए एक नई चरित्र का उपयोग करके विशेषाधिकार वृद्धि के साथ किया जा सकता है जो जानकारी को बताने के लिए जिम्मेदार है वीपीएनसी। यह भेद्यता एक जोखिम पैदा करती है क्योंकि यह एक स्थानीय उपयोगकर्ता को सिस्टम की सेटिंग्स को बदलने के लिए वांछित पहुंच प्राप्त करने के लिए इसका उपयोग करने की अनुमति देता है और साथ ही रूट विशेषाधिकार के साथ मनमाना आदेशों को निष्पादित करता है।

समान भेद्यता संकेतक पहली बार 11 पर खोजे गए थेवेंजुलाई, 2018 के बाद। गनोम सुरक्षा से संपर्क किया गया और दो दिन बाद फर्म से एक पावती प्राप्त हुईवेंजुलाई का। CVE पहचान लेबल CVE-2018-10900 को 20 पर भेद्यता को सौंपा गया थावेंजुलाई और नेटवर्क प्रबंधक वीपीएनसी संस्करण 1.2.6 को अगले दिन भेद्यता द्वारा आगे लाए गए चिंताओं को कम करने के लिए जारी किया गया था। एक सलाहकार 21 पर सूक्ति सुरक्षा द्वारा जारी किया गया थाअनुसूचित जनजातिजुलाई के रूप में अच्छी तरह से।



ऐसा लगता है कि यह वही भेद्यता है जो हाल ही में अलग-अलग तरीकों से मॉर्फिंग, एडाप्टिंग और रिसर्फेसिंग है। इस भेद्यता की सबसे हालिया रिपोर्ट उपयोगकर्ता विशेषाधिकार विशेषाधिकार का मामला है जिसमें मेटास्पॉइल मॉड्यूल एक वीपीएन कनेक्शन के लिए सेट और रनिंग उपयोगकर्ता नाम में एक नई लाइन इंजेक्शन भेद्यता का उपयोग करता है ताकि पासवर्ड हेल्पर कॉन्फ़िगरेशन तंत्र में सेटिंग्स या संचालन में फेंक दिया जा सके। कनेक्शन को ही चैनल करें।



जिस तरह से पासवर्ड हेल्पर रूट लोकेशन एक्सेस के साथ समाहित है, वह नेटवर्क मैनेजर द्वारा रूट के रूप में चलाया जाता है, जब कनेक्शन शुरू हो जाता है, तो यह वीपीएन नेटवर्क सिस्टम के साथ हस्तक्षेप करने के लिए एलिवेटेड अनुमति देता है।



यह भेद्यता नेटवर्क मैनेजर वीपीएनसी संस्करणों 1.2.6 और पुराने को प्रभावित करने के लिए मिली है। यहाँ संबोधित किया गया विशेष रूप से मेटस्पॉइल मॉड्यूल वीपीएनसी के निम्नलिखित संस्करणों में देखा गया है: डेबियन 9.0.0 (x64) पर 2.2.4-1 और उबंटू लिनक्स 16.04.4 (x64) पर 1.1.93-1।

टैग वीपीएन