Linuxలో డర్టీ పైప్ లీక్ యొక్క క్రియాశీల దుర్వినియోగానికి వ్యతిరేకంగా US హెచ్చరించింది

దాడి చేసేవారు Linuxలోని డర్టీ పైప్ దుర్బలత్వాన్ని చురుకుగా ఉపయోగించుకుంటున్నారని US ప్రభుత్వం హెచ్చరిక జారీ చేసింది. దుర్బలత్వం స్థానిక వినియోగదారుని రూట్ అధికారాలను పొందేందుకు అనుమతిస్తుంది. యుఎస్‌లోని ప్రభుత్వ ఏజెన్సీలు తమ సిస్టమ్‌లలోని దుర్బలత్వాన్ని మే 16లోపు పరిష్కరించాలని సూచించబడ్డాయి.

హార్డు డ్రైవులో శాశ్వతంగా నిల్వ చేయబడిన Linux ఫైల్ మరియు ఫైల్ వలె ఉపయోగించబడే ఇన్-మెమరీ డేటా బఫర్ అయిన Linux పైప్ మధ్య అసురక్షిత పరస్పర చర్య కారణంగా ఈ దుర్బలత్వాన్ని డర్టీ పైప్ అంటారు. వినియోగదారుకు వ్రాయడానికి పైప్ ఉంటే మరియు అది చేయలేని ఫైల్ ఉంటే, పైప్ యొక్క మెమరీ బఫర్‌కు వ్రాయడం వలన డిస్క్ ఫైల్ యొక్క వివిధ భాగాల యొక్క కాష్ చేయబడిన పేజీలను కూడా అనుకోకుండా సవరించవచ్చు.

దీని వలన కస్టమ్ కాష్ బఫర్‌ని కెర్నల్ ద్వారా డిస్క్‌కి తిరిగి వ్రాయబడుతుంది మరియు ఫైల్ అనుమతులతో సంబంధం లేకుండా సేవ్ చేయబడిన ఫైల్ యొక్క కంటెంట్‌లు శాశ్వతంగా సవరించబడతాయి. స్థానిక వినియోగదారు రూట్ ఖాతాకు SSH కీని జోడించవచ్చు, రూట్ షెల్‌ను సృష్టించవచ్చు లేదా బ్యాక్‌డోర్‌గా అమలు చేసే క్రాన్ జాబ్‌ని జోడించవచ్చు మరియు రూట్ హక్కులతో కొత్త వినియోగదారు ఖాతాను జోడించవచ్చు, కానీ శాండ్‌బాక్స్ వెలుపల ఫైల్‌లను సవరించడం కూడా సాధ్యమవుతుంది.

US డిపార్ట్‌మెంట్ ఆఫ్ హోమ్‌ల్యాండ్ సెక్యూరిటీకి చెందిన సైబర్‌సెక్యూరిటీ అండ్ ఇన్‌ఫ్రాస్ట్రక్చర్ సెక్యూరిటీ ఏజెన్సీ (CISA) చురుకుగా దాడి చేయబడిన దుర్బలత్వాల జాబితాను నిర్వహిస్తుంది మరియు ప్రభావిత సమస్య కోసం ఫెడరల్ ప్రభుత్వ ఏజెన్సీలు అప్‌డేట్‌ను ఇన్‌స్టాల్ చేసినప్పుడు గడువులను సెట్ చేస్తుంది. దాడి చేసేవారు ఉపయోగించుకోగల దుర్బలత్వాలపై అంతర్దృష్టిని అందించే జాబితా, కొత్తగా దాడి చేయబడిన దుర్బలత్వాలతో క్రమం తప్పకుండా విస్తరించబడుతుంది.

తాజా అప్‌డేట్‌తో, కొత్తగా దాడి చేయబడిన మొత్తం ఏడు దుర్బలత్వాలు జాబితాకు జోడించబడ్డాయి. Linuxలో డర్టీ పైప్ లీక్‌తో పాటు, ఇది నాలుగు దుర్బలత్వాలకు సంబంధించినది Windows అది స్థానిక దాడి చేసే వ్యక్తి తన హక్కులను పెంచుకోవడానికి అనుమతిస్తుంది. మైక్రోసాఫ్ట్ రెండు వారాల క్రితం ఈ దుర్బలత్వాల్లో ఒకదానికి (CVE-2022-26904) అప్‌డేట్‌ను విడుదల చేసింది. మైక్రోసాఫ్ట్ ప్రకారం, ప్యాచ్ విడుదలైన సమయంలో దుర్బలత్వం ఇంకా దాడి చేయబడలేదు. CISA ప్రకారం, ఆ తర్వాత అది మారిపోయింది, దాడి చేసేవారు వెల్లడైన దుర్బలత్వాలను ఎంత త్వరగా ఉపయోగించుకుంటారో మళ్లీ సూచిస్తుంది.