पोंगो टेम्पलेट्स के माध्यम से मनमाना फ़ाइल पढ़ने और लिखने के लिए Incus असुरक्षित
प्लेटफ़ॉर्म
go
कॉम्पोनेन्ट
github.com/lxc/incus/v6
ठीक किया गया
6.23.0
### सारांश इंस्टेंस टेम्पलेट फ़ाइलों का उपयोग होस्ट सर्वर पर रूट के रूप में मनमाना पढ़ने या लिखने का कारण बनने के लिए किया जा सकता है। ### विवरण Incus इंस्टेंस के भीतर पोंगो2 (pongo2) टेम्पलेट्स की अनुमति देता है जिसका उपयोग इंस्टेंस लाइफसाइकिल में विभिन्न समयों पर इंस्टेंस के अंदर टेम्पलेट फ़ाइलों के लिए किया जा सकता है। Incus के भीतर पोंगो2 (pongo2) का यह विशेष कार्यान्वयन फ़ाइल पढ़ने/लिखने की अनुमति देता है, लेकिन इस उम्मीद के साथ कि पोंगो2 (pongo2) च्रूट (chroot) सुविधा इस तरह की सभी पहुंच को इंस्टेंस की फ़ाइल सिस्टम तक सीमित कर देगी। इसकी अनुमति इसलिए दी गई थी ताकि एक टेम्पलेट सैद्धांतिक रूप से एक फ़ाइल को पढ़ सके और फिर उक्त फ़ाइल का एक नया संस्करण उत्पन्न कर सके। दुर्भाग्य से च्रूट (chroot) आइसोलेशन तंत्र पूरी तरह से पोंगो2 (pongo2) द्वारा छोड़ दिया गया है, जिससे रूट विशेषाधिकारों के साथ पूरे सिस्टम के फ़ाइल सिस्टम तक आसान पहुंच हो जाती है। ### श्रेय यह समस्या [7asecurity](https://7asecurity.com/) की टीम द्वारा खोजी और रिपोर्ट की गई थी।
कैसे ठीक करें
कोई आधिकारिक पैच उपलब्ध नहीं है। वैकल्पिक समाधान खोजें या अपडेट की निगरानी करें।
अपनी निर्भरताओं की स्वचालित निगरानी करें
जब नई कमज़ोरियाँ आपके प्रोजेक्ट को प्रभावित करें तो अलर्ट पाएं।
मुफ़्त शुरू करें