የተከፋፈለው ምንጭ ቁጥጥር ሥርዓት Git 2.35.2, 2.30.3, 2.31.2, 2.32.1, 2.33.2 እና 2.34.2 ታትመዋል, ሁለት ተጋላጭነቶች የተስተካከሉበት:
- CVE-2022-24765 - በሌላ ተጠቃሚ የተገለጹ ትዕዛዞችን ወደ መፈጸም ሊያመራ የሚችል የጋራ ማውጫዎች ባላቸው ባለብዙ ተጠቃሚ ስርዓቶች ላይ ጥቃት ተለይቷል። አጥቂ ከሌሎች ተጠቃሚዎች ጋር በሚገናኙ ቦታዎች ላይ የ".git" ማውጫ (ለምሳሌ በጋራ ዳይሬክቶሬቶች ወይም ማውጫዎች ጊዜያዊ ፋይሎች) በመፍጠር የ".git/config" ውቅረት ፋይል በውስጡ ከተቆጣጣሪዎች ውቅር ጋር ማስቀመጥ ይችላል። የተወሰኑ ተግባራት ሲፈጸሙ ይባላል.git ትዕዛዞች (ለምሳሌ, የኮድ አፈፃፀምን ለማደራጀት የcore.fsmonitor መለኪያ መጠቀም ይችላሉ).
በ".git/config" ላይ የተገለጹት ተቆጣጣሪዎች በአጥቂው ከተፈጠረ የ".git" ንዑስ ማውጫ ከፍ ያለ ማውጫ ውስጥ git ከገባ እንደ ሌላ ተጠቃሚ ይባላሉ። ጥሪውን ጨምሮ በተዘዋዋሪ ሊደረግ ይችላል፡ ለምሳሌ፡ የኮድ አርታዒዎችን ከgit ድጋፍ ጋር ሲጠቀሙ፡ እንደ VS Code እና Atom፡ ወይም “git status” (ለምሳሌ Git Bash ወይም posh-git) የሚቀሰቅሱ ማከያዎች ሲጠቀሙ። በስሪት Git 2.35.2፣ ተጋላጭነቱ የታገደው በመሠረታዊ ማውጫዎች ውስጥ “.git”ን ለመፈለግ አመክንዮ በመቀየር ነው (የ‹‹.git› ማውጫው አሁን የሌላ ተጠቃሚ ከሆነ ችላ ይባላል)።
- CVE-2022-24767 የ Git for Windows ን የማራገፍ ኦፕሬሽንን በሚያሄድበት ጊዜ ኮድ በ SYSTEM መብቶች እንዲፈፀም የሚያስችል ዊንዶውስ-ተኮር ተጋላጭነት ነው። ችግሩ የተፈጠረው ማራገፊያው በጊዜያዊ ዳይሬክቶሬት ውስጥ በስርዓት ተጠቃሚዎች ሊፃፍ ይችላል። ጥቃቱ የሚካሄደው ተተኪ DLLዎችን በጊዜያዊ ማውጫ ውስጥ በማስቀመጥ ሲሆን ይህም ማራገፊያው በ SYSTEM መብቶች ሲሄድ ይጫናል።
ምንጭ: opennet.ru