నెట్‌వర్క్ మేనేజర్ VPNC వినియోగదారు పేరు ప్రివిలేజ్ ఎస్కలేషన్ దుర్బలత్వంతో సోకింది

నెట్‌వర్క్ మేనేజర్ VPNC ప్లగ్‌ఇన్‌లో వినియోగదారు పేరు హక్కుల పెరుగుదల దుర్బలత్వం కనుగొనబడింది. ఈ ఇంజెక్షన్ దుర్బలత్వం ప్రోగ్రామ్ యొక్క మెటాస్పోల్ట్ మాడ్యూల్ ద్వారా రూట్ ప్రివిలేజ్ యాక్సెస్ పొందటానికి దోపిడీ చేయబడుతుంది.

నెట్‌వర్క్ మేనేజర్‌లో VPNC మద్దతు కోసం నెట్‌వర్క్-మేనేజర్-విపిఎన్‌సి ప్లగ్ఇన్ ఒక ప్రత్యేక హక్కును పెంచే దుర్బలత్వంతో దోపిడీకి గురిచేయవచ్చని డెనిస్ అడ్న్జాకోవిక్ కనుగొన్నాడు, కాన్ఫిగరేషన్ స్కీమ్‌లోకి పాస్‌వర్డ్ సహాయక పరామితిని ఇంజెక్ట్ చేయడానికి కొత్త లైన్ అక్షరాన్ని ఉపయోగించి vpnc. ఈ దుర్బలత్వం ఒక ప్రమాదాన్ని కలిగిస్తుంది ఎందుకంటే ఇది సిస్టమ్ యొక్క సెట్టింగులను మార్చడానికి మరియు రూట్ హక్కుతో ఏకపక్ష ఆదేశాలను అమలు చేయడానికి కావలసిన ప్రాప్యతను పొందడానికి స్థానిక వినియోగదారుని అనుమతిస్తుంది.

ఇలాంటి దుర్బలత్వ సూచికలు మొదట 11 న కనుగొనబడ్డాయి^వజూలై, 2018. అప్పుడు గ్నోమ్ సెక్యూరిటీని సంప్రదించారు మరియు రెండు రోజుల తరువాత 13 న సంస్థ నుండి రసీదు పొందబడింది^వజూలై. CVE గుర్తింపు లేబుల్ CVE-2018-10900 ను 20 న దుర్బలత్వానికి కేటాయించారు^వజూలై మరియు నెట్‌వర్క్ మేనేజర్ VPNC వెర్షన్ 1.2.6 దుర్బలత్వం ద్వారా ముందుకు వచ్చిన ఆందోళనలను తగ్గించడానికి మరుసటి రోజు విడుదల చేయబడింది. ఒక సలహా 21 న గ్నోమ్ సెక్యూరిటీ విడుదల చేసింది^{స్టంప్}జూలైలో కూడా.

ఇదే దుర్బలత్వం ఇటీవల వివిధ మార్గాల్లో మార్ఫింగ్, స్వీకరించడం మరియు తిరిగి కనిపించడం అనిపిస్తుంది. ఈ దుర్బలత్వం యొక్క ఇటీవలి నివేదిక వినియోగదారు పేరు ప్రత్యేక హక్కుల పెంపు కేసు, దీనిలో మెటాస్పోల్ట్ మాడ్యూల్ సెట్లో కొత్త లైన్ ఇంజెక్షన్ దుర్బలత్వాన్ని ఉపయోగిస్తుంది మరియు పాస్వర్డ్ సహాయక కాన్ఫిగరేషన్ మెకానిజంలో పనిచేసే సెట్టింగులలోకి విసిరేందుకు VPN కనెక్షన్ కోసం వినియోగదారు పేరును నడుపుతుంది. కనెక్షన్‌ను ఛానెల్ చేయండి.

పాస్వర్డ్ సహాయకుడు రూట్ లొకేషన్ యాక్సెస్‌తో ఉన్న మార్గం కారణంగా, కనెక్షన్ ప్రారంభమైనప్పుడు ఇది నెట్‌వర్క్ మేనేజర్ చేత రూట్‌గా నడుస్తుంది, ఇది VPN నెట్‌వర్క్ సిస్టమ్‌లో జోక్యం చేసుకోవడానికి అధిక అనుమతులను ఇస్తుంది.

ఈ దుర్బలత్వం నెట్‌వర్క్ మేనేజర్ VPNC సంస్కరణలు 1.2.6 మరియు అంతకంటే ఎక్కువ వయస్సు గలవారిని ప్రభావితం చేస్తుంది. ఇక్కడ ప్రసంగించిన ప్రత్యేకమైన మెటాస్పోల్ట్ మాడ్యూల్ VPNC యొక్క క్రింది వెర్షన్లలో గమనించబడింది: డెబియన్ 9.0.0 (x64) పై 2.2.4-1 మరియు ఉబుంటు లైనక్స్ 16.04.4 (x64) పై 1.1.93-1.