የተከፋፈለው ምንጭ ቁጥጥር ሥርዓት Git 2.35.2, 2.30.3, 2.31.2, 2.32.1, 2.33.2 እና 2.34.2 ታትመዋል, ሁለት ተጋላጭነቶች የተስተካከሉበት:
- CVE-2022-24765 - በሌላ ተጠቃሚ የተገለጹ ትዕዛዞችን ወደ መፈጸም ሊያመራ የሚችል የጋራ ማውጫዎች ባላቸው ባለብዙ ተጠቃሚ ስርዓቶች ላይ ጥቃት ተለይቷል። አጥቂ ከሌሎች ተጠቃሚዎች ጋር በሚገናኙ ቦታዎች ላይ የ".git" ማውጫ (ለምሳሌ በጋራ ዳይሬክቶሬቶች ወይም ማውጫዎች ጊዜያዊ ፋይሎች) በመፍጠር የ".git/config" ውቅረት ፋይል በውስጡ ከተቆጣጣሪዎች ውቅር ጋር ማስቀመጥ ይችላል። የተወሰኑ ተግባራት ሲፈጸሙ ይባላል.git ትዕዛዞች (ለምሳሌ, የኮድ አፈፃፀምን ለማደራጀት የcore.fsmonitor መለኪያ መጠቀም ይችላሉ).
በ".git/config" ላይ የተገለጹት ተቆጣጣሪዎች በአጥቂው ከተፈጠረ የ".git" ንዑስ ማውጫ ከፍ ያለ ማውጫ ውስጥ git ከገባ እንደ ሌላ ተጠቃሚ ይባላሉ። ጥሪውን ጨምሮ በተዘዋዋሪ ሊደረግ ይችላል፡ ለምሳሌ፡ የኮድ አርታዒዎችን ከgit ድጋፍ ጋር ሲጠቀሙ፡ እንደ VS Code እና Atom፡ ወይም “git status” (ለምሳሌ Git Bash ወይም posh-git) የሚቀሰቅሱ ማከያዎች ሲጠቀሙ። በስሪት Git 2.35.2፣ ተጋላጭነቱ የታገደው በመሠረታዊ ማውጫዎች ውስጥ “.git”ን ለመፈለግ አመክንዮ በመቀየር ነው (የ‹‹.git› ማውጫው አሁን የሌላ ተጠቃሚ ከሆነ ችላ ይባላል)።
- CVE-2022-24767 - ፕላትፎርም ስፔሲፊክ Windows የGitን የማራገፍ ተግባር ሲያሄዱ ኮድ በSYSTEM መብቶች እንዲፈጸም የሚያስችል ተጋላጭነት Windowsችግሩ የሚከሰተው ማራገፊያው በስርዓት ተጠቃሚዎች ሊጻፍ በሚችል ጊዜያዊ ማውጫ ውስጥ ሲሰራ ነው። ጥቃቱ የሚከናወነው ምትክ DLLዎችን በጊዜያዊ ማውጫ ውስጥ በማስቀመጥ ሲሆን ይህም ማራገፊያው በSYSTEM መብቶች ሲሄድ ይጫናል።
ምንጭ: opennet.ru
