كارثة النقاط في برنامج كيرل: ثغرتان أمنيتان ومطاردة لا تنتهي
2025-05-15
واجه فريق كيرل صراعًا مستمرًا مع النقاط المتتالية في أسماء المضيفين ضمن عناوين URL. في البداية، تم تجاهلها، ثم تم استعادة الدعم للمواقع التي تتطلب نقاطًا متتالية. ومع ذلك، أدى هذا التغيير عن غير قصد إلى ظهور ثغرتين أمنيتين (CVE-2022-27779 و CVE-2022-30115) تؤثران على معالجة ملفات تعريف الارتباط وآلية HSTS على التوالي. نشأت هاتان الثغرتان من المعالجة غير الصحيحة للنقاط المتتالية، مما أدى إلى تطابق خاطئ للأسماء النطاقية. يقوم إصدار كيرل 7.83.1 بإصلاح هذه المشكلات، لكن المؤلف يشتبه في أن هذا قد يكون مجرد بداية صراع طويل الأمد.
التطوير
كيرل