ለተከፋፈለው የምንጭ መቆጣጠሪያ ስርዓት Git 2.38.4፣ 2.37.6፣ 2.36.5፣ 2.35.7፣ 2.34.7፣ 2.33.7፣ 2.32.6፣ 2.31.7 እና 2.30.8 ፓች ተለቀዋል። እነዚህ ፓችዎች የአካባቢ ክሎኒንግ ማሻሻያ እና የ"git apply" ትዕዛዝን የሚነኩ ሁለት ተጋላጭነቶችን ይፈታሉ። የእነዚህን ስርጭቶች የጥቅል ዝማኔዎች መለቀቅ በሚከተሉት ገጾች ላይ መከታተል ይችላሉ፡ Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD. ዝማኔውን መጫን የማይቻል ከሆነ፣ እንደ መፍትሄ፣ "--recurse-submodules" የሚለውን አማራጭ በመጠቀም "git clone" የሚለውን ተግባር ከማያምኑ ማከማቻዎች ጋር ከማስወገድ እና "git apply" እና "git am" ትዕዛዞችን ባልተሞከረ ኮድ ከመጠቀም እንዲቆጠቡ እንመክራለን።
- ተጋላጭነት CVE-2023-22490 አንድ አጥቂ በተዘጋ ማከማቻ ይዘት ላይ ቁጥጥር ያለው ሲሆን በተጠቃሚው ስርዓት ላይ ሚስጥራዊ መረጃዎችን እንዲደርስ ያስችለዋል። ሁለት ጉድለቶች ለዚህ ተጋላጭነት አስተዋጽኦ ያደርጋሉ፡
የመጀመሪያው ጉድለት፣ በልዩ ሁኔታ ከተነደፈ ማከማቻ ጋር ሲሰራ፣ ከውጭ ስርዓቶች ጋር የሚገናኝ ትራንስፖርት ሲጠቀሙም እንኳ የአካባቢ ክሎኒንግ ማሻሻያ ትግበራዎችን ለማሳካት ያስችላል።
ሁለተኛው ጉድለት ከ$GIT_DIR/objects ማውጫ ይልቅ ተምሳሌታዊ አገናኝ እንዲቀመጥ ያስችላል፣ ይህም ከተጋላጭነት CVE-2022-39253 ጋር ተመሳሳይ ነው፣ ይህም በ$GIT_DIR/objects ማውጫ ውስጥ የምሳሌያዊ አገናኞችን አቀማመጥ ያገደው ጥገና ነው፣ ነገር ግን የ$GIT_DIR/objects ማውጫ ራሱ ተምሳሌታዊ አገናኝ ሊሆን እንደሚችል አላረጋገጠም።
በአካባቢያዊ ክሎኒንግ ሁነታ፣ git $GIT_DIR/objectsን ወደ ዒላማው ማውጫ ያስተላልፋል፣ ይህም በአገናኞቹ የተጠቀሱ ፋይሎች በቀጥታ ወደ ዒላማው ማውጫ እንዲገለበጡ ያደርጋል። ለአካባቢያዊ ላልሆኑ መጓጓዣዎች ወደ አካባቢያዊ ክሎኒንግ ማመቻቸት መቀየር ከውጫዊ ማከማቻዎች ጋር ሲሰራ ተጋላጭነትን መጠቀምን ያስችላል (ለምሳሌ፣ የ"git clone --recurse-submodules" ትዕዛዝ ያላቸው ተደጋጋሚ ንዑስ ሞጁሎችን ማካተት በሌላ ማከማቻ ውስጥ እንደ ንዑስ ሞዱል የታሸገ ተንኮል አዘል ማከማቻን ወደ ክሎኒንግ ሊያመራ ይችላል)።
- ተጋላጭነት CVE-2023-23946 ከስራ ማውጫው ውጭ ያሉ የፋይሎች ይዘቶች በልዩ ሁኔታ የተቀረጸ ግብዓት ወደ "git apply" ትዕዛዝ በማለፍ እንዲተኩ ያስችላቸዋል። ለምሳሌ፣ "git apply" በአጥቂ የተፈጠሩ ጥገናዎችን ሲያስኬድ ጥቃት ሊፈጸም ይችላል። ጥገናዎች ከስራ ቅጂው ውጭ ፋይሎችን እንዳይፈጥሩ ለመከላከል፣ "git apply" ተምሳሌታዊ አገናኞችን በመጠቀም ፋይል ለመጻፍ የሚሞክሩ ጥገናዎችን ሂደት ያግዳል። ሆኖም፣ ይህ ጥበቃ መጀመሪያ ተምሳሌታዊ አገናኝ በመፍጠር ሊታለፍ ይችላል።
ምንጭ: opennet.ru
