የተከፋፈለ ምንጭ ቁጥጥር ሥርዓት Git 2.38.4, 2.37.6, 2.36.5, 2.35.7, 2.34.7, 2.33.7, 2.32.6, 2.31.7 እና 2.30.8 ታትሟል ይህም ውስጥ ሁለት. ድክመቶች ይወገዳሉ, የአካባቢያዊ ክሎክ ማሻሻያዎችን እና የ "git apply" ትዕዛዝን ይነካል. በዴቢያን ፣ ኡቡንቱ ፣ RHEL ፣ SUSE/openSUSE ፣ Fedora ፣ Arch ፣ FreeBSD ገጾች ላይ የጥቅል ዝመናዎችን መውጣቱን መከታተል ይችላሉ። ማሻሻያ መጫን የማይቻል ከሆነ እንደ መፍትሄ ከሆነ "git clone" በ "--recurse-submodules" አማራጭ ባልታመኑ ማከማቻዎች ላይ እንዳይሮጡ እና "git apply" እና "git" እንዳይጠቀሙ ይመከራል. am" በማይታመን ኮድ ያዛል።
- ተጋላጭነት CVE-2023-22490 የክሎድ ማከማቻ ይዘቶችን የሚቆጣጠር አጥቂ በተጠቃሚ ስርዓት ላይ ሚስጥራዊ መረጃን እንዲያገኝ ያስችለዋል። ሁለት ጉድለቶች ለተጋላጭነት መከሰት አስተዋጽኦ ያደርጋሉ-
የመጀመሪያው ጉድለት በልዩ ሁኔታ ከተነደፈ ማከማቻ ጋር ሲሰራ ከውጭ ስርዓቶች ጋር የሚገናኝ መጓጓዣን በሚጠቀሙበት ጊዜ እንኳን የአካባቢያዊ ክሎኒንግ ማሻሻያዎችን ለመጠቀም ያስችላል።
ሁለተኛው እንከን ከ$GIT_DIR/ነገሮች ማውጫ ይልቅ ምሳሌያዊ አገናኝ ማስቀመጥ ያስችላል፣ ከተጋላጭነት CVE-2022-39253 ጋር ተመሳሳይ፣ በዚህ መጠገን ውስጥ ምሳሌያዊ አገናኞች በ$GIT_DIR/ነገሮች ማውጫ ውስጥ መቀመጡ ታግዷል፣ነገር ግን እውነታው የ$GIT_DIR/የነገሮች ማውጫ ራሱ ያልተፈተሸ ምሳሌያዊ አገናኝ ሊሆን ይችላል።
በአካባቢያዊ ክሎነ ሁነታ፣git ሲምሊንኮችን በማጥፋት $GIT_DIR/ነገሮችን ወደ ዒላማው ማውጫ ያንቀሳቅሳል፣ይህም የተጠቀሱ ፋይሎች በቀጥታ ወደ ዒላማው ማውጫ እንዲገለበጡ ያደርጋል። የአካባቢያዊ ክሎኒንግ ማሻሻያዎችን ለአካባቢያዊ ላልሆኑ መጓጓዣዎች መቀየር ከውጭ ማከማቻዎች ጋር በሚሰሩበት ጊዜ ተጋላጭነትን መበዝበዝ ያስችላል (ለምሳሌ፡- “git clone --recurse-submodules” የሚል ትዕዛዝ ያለው ንዑስ ሞጁሎችን በማካተት እንደ የታሸገ ተንኮል-አዘል ማከማቻ ክሎኒንግ ሊያስከትል ይችላል። በሌላ ማከማቻ ውስጥ ንዑስ ሞዱል)።
- የተጋላጭነት CVE-2023-23946 የፋይሎችን ይዘቶች ከስራ ማውጫው ውጭ በልዩ ሁኔታ የተቀረፀውን ግብአት ወደ "git apply" ትዕዛዝ በማስተላለፍ ለመፃፍ ያስችላል። ለምሳሌ በአጥቂ የተዘጋጁ ፕላቶች በ"git apply" ውስጥ ሲሰሩ ጥቃት ሊፈፀም ይችላል። ጥገናዎች ከስራ ቅጂው ውጭ ፋይሎችን እንዳይፈጥሩ ለማገድ "git apply" ምሳሌያዊ አገናኞችን ተጠቅመው ፋይል ለመፃፍ የሚሞክሩ ጥገናዎችን ያግዳል። ነገር ግን ይህ ጥበቃ በመጀመሪያ ደረጃ ተምሳሌታዊ አገናኝ በመፍጠር ሊታለፍ ችሏል.
ምንጭ: opennet.ru