सीआईएसए ने डिस्कोर्स के साथ रिमोट कोड निष्पादन भेद्यता की चेतावनी दी है

  • Oct 17, 2023

डिस्कोर्स ने शुक्रवार को CVE-2021-41163 के लिए एक पैच जारी किया।

खुला स्त्रोत

  • GitHub बनाम GitLab: कौन सा प्रोग्राम आपके लिए सही है?
  • शुरुआती लोगों के लिए सर्वोत्तम लिनक्स डिस्ट्रोस
  • फ़ेरेन ओएस एक लिनक्स वितरण है जो जितना सुंदर है उतना ही उपयोग में आसान भी है
  • अपनी लिनक्स मशीन में नए उपयोगकर्ता कैसे जोड़ें

सीआईएसए दृढ़तापूर्वक निवेदन करना रविवार को भेजे गए एक नोटिस में डेवलपर्स ने डिस्कोर्स संस्करण 2.7.8 और इससे पहले के संस्करण को अपडेट करने की चेतावनी दी है, जिसमें चेतावनी दी गई है कि रिमोट कोड निष्पादन भेद्यता को "महत्वपूर्ण" के रूप में टैग किया गया था। 

समस्या पैच किया गया था शुक्रवार को, और डेवलपर्स ने इसे समझाया सीवीई-2021-41163 इसमें "अपस्ट्रीम एडब्ल्यूएस-एसडीके-एसएनएस रत्न में एक सत्यापन बग" शामिल है जो "दुर्भावनापूर्ण तरीके से तैयार किए गए अनुरोध के माध्यम से प्रवचन में आरसीई को जन्म दे सकता है।"

डेवलपर्स ने नोट किया कि अद्यतन किए बिना समस्या को हल करने के लिए, "/webhooks/aws प्रारंभ करने वाले पथ वाले अनुरोधों को अपस्ट्रीम प्रॉक्सी पर अवरुद्ध किया जा सकता है।"

लोकप्रिय खुला स्रोत चर्चा मंच

लाखों उपयोगकर्ताओं को आकर्षित करता है हर महीने, सीआईएसए की ओर से संदेश भेजकर अद्यतनों को आगे बढ़ाने का आग्रह किया जाता है।

शोधकर्ताओं बारीकियों को विस्तार से बताया है ब्लॉग पोस्ट में समस्या के बारे में बताया और डिस्कोर्स को समस्या बताई, जिसने टिप्पणी के अनुरोधों का जवाब नहीं दिया।

ब्लीपिंगकंप्यूटर Shodan पर एक खोज की गई जिसमें पाया गया कि सभी डिस्कोर्स SaaS उदाहरणों को पैच कर दिया गया है।

साइबर सुरक्षा कंपनी गुरुकुल के सीईओ सरयू नैय्यर ने कहा कि डिस्कोर्स "बाद में भी खबरें बनाना जारी रखता है शोधकर्ताओं ने एक भेद्यता की खोज की जो हमलावरों को प्रशासक पर ओएस कमांड लागू करने में सक्षम बनाती है स्तर।" 

"सिस्टम प्रशासकों और व्यक्तिगत उपयोगकर्ताओं दोनों के लिए सॉफ़्टवेयर प्रदाताओं से सुरक्षा जानकारी प्राप्त करना और तुरंत पैच इंस्टॉल करना अत्यंत महत्वपूर्ण है। हम अपने सिस्टम में स्वचालित रूप से पैच भेजने के लिए Microsoft या अन्य OS विक्रेताओं पर भरोसा नहीं कर सकते। नैय्यर ने कहा, डिस्कोर्स सॉफ्टवेयर के उपयोगकर्ताओं को इस पैच को अपनी सबसे महत्वपूर्ण प्राथमिकता के रूप में परीक्षण और इंस्टॉल करना चाहिए।

"अधिकांश उपयोगकर्ता कंप्यूटरों के पास कंप्यूटर व्यवस्थापक पहुंच नहीं होती है। यदि कंप्यूटर पर एकमात्र व्यवस्थापक पहुंच नेटवर्क व्यवस्थापक खाते के माध्यम से है, तो आप निष्पादित कर सकते हैं एडमिन एक्सेस का उपयोग करके, हैकर्स के पास एक कमांड भेजने की क्षमता होती है जो पूरी चीज़ से समझौता कर सकती है नेटवर्क।"

हेस्टैक सॉल्यूशंस के सीईओ डौग ब्रिटन ने कहा कि भेद्यता खतरनाक है क्योंकि इसे पीड़ित सर्वर पर पहले से ही प्रमाणित उपयोगकर्ता के बिना दूरस्थ रूप से चलाया जा सकता है।

"स्तर 10 के बग निस्संदेह सबसे गंभीर कमज़ोरियाँ हैं। डिस्कोर्स एक प्रमुख संचार मंच है," ब्रिटन ने कहा।

सुरक्षा

अत्यधिक सुरक्षित दूरस्थ श्रमिकों की 8 आदतें
अपने फोन से स्पाइवेयर कैसे ढूंढें और हटाएं
सर्वोत्तम वीपीएन सेवाएँ: शीर्ष 5 की तुलना कैसे की जाती है?
कैसे पता करें कि आप डेटा उल्लंघन में शामिल हैं - और आगे क्या करें
  • अत्यधिक सुरक्षित दूरस्थ श्रमिकों की 8 आदतें
  • अपने फोन से स्पाइवेयर कैसे ढूंढें और हटाएं
  • सर्वोत्तम वीपीएन सेवाएँ: शीर्ष 5 की तुलना कैसे की जाती है?
  • कैसे पता करें कि आप डेटा उल्लंघन में शामिल हैं - और आगे क्या करें