تم إصدار تحديثات Git للإصدارات 2.38.4، 2.37.6، 2.36.5، 2.35.7، 2.34.7، 2.33.7، 2.32.6، 2.31.7، و2.30.8 لنظام التحكم في المصادر الموزع. تعالج هذه التحديثات ثغرتين أمنيتين تؤثران على تحسينات الاستنساخ المحلي وأمر "git apply". يمكنك متابعة إصدارات تحديثات الحزم لهذه التوزيعات على الصفحات التالية: Debian, UbuntuRHEL، SUSE/openSUSE، Fedora، Arch، FreeBSD. إذا تعذر تثبيت التحديث، فننصح كحل بديل بتجنب استخدام أمر "git clone" مع خيار "--recurse-submodules" مع المستودعات غير الموثوقة، وعدم استخدام أوامر "git apply" و"git am" مع التعليمات البرمجية غير المختبرة.
- تسمح الثغرة الأمنية CVE-2023-22490 للمهاجم الذي يتحكم في محتويات مستودع مستنسخ بالوصول إلى البيانات السرية على نظام المستخدم. هناك عيبان يساهمان في ظهور الضعف:
يسمح الخلل الأول ، عند العمل مع مستودع مصمم خصيصًا ، بتحقيق استخدام تحسينات الاستنساخ المحلية حتى عند استخدام وسيلة نقل تتفاعل مع أنظمة خارجية.
يسمح الخلل الثاني بوضع رابط رمزي بدلاً من الدليل $ GIT_DIR / Objects ، على غرار الثغرة الأمنية CVE-2022-39253 ، حيث تم منع وضع الروابط الرمزية في الدليل $ GIT_DIR / object ، ولكن الحقيقة أن الدليل $ GIT_DIR / الكائنات نفسه لم يتم التحقق منه قد يكون ارتباطًا رمزيًا.
في وضع النسخ المحلي ، تنقل git $ GIT_DIR / كائنات إلى الدليل الهدف عن طريق إلغاء الإشارة إلى الروابط الرمزية ، مما يؤدي إلى نسخ الملفات المرجعية مباشرة إلى الدليل الهدف. يسمح التبديل لاستخدام تحسينات النسخ المحلية للنقل غير المحلي باستغلال نقاط الضعف عند العمل مع المستودعات الخارجية (على سبيل المثال ، تضمين الوحدات الفرعية بشكل متكرر باستخدام الأمر "git clone --recurse-subodules" يمكن أن يؤدي إلى استنساخ مستودع ضار تم تجميعه على شكل وحدة فرعية في مستودع آخر).
- تسمح الثغرة الأمنية CVE-2023-23946 بالكتابة فوق محتويات الملفات خارج دليل العمل عن طريق تمرير إدخال منسق بشكل خاص إلى الأمر "git application". على سبيل المثال ، يمكن إجراء هجوم عندما تتم معالجة التصحيحات التي أعدها المهاجم في "git apply". لمنع التصحيحات من إنشاء ملفات خارج نسخة العمل ، يمنع "git application" معالجة التصحيحات التي تحاول كتابة ملف باستخدام روابط رمزية. لكن تبين فيما بعد أنه تم تجاوز هذه الحماية من خلال إنشاء رابط رمزي في المقام الأول.
المصدر: opennet.ru
