Paylanmış mənbə idarəetmə sisteminin Git 2.38.4, 2.37.6, 2.36.5, 2.35.7, 2.34.7, 2.33.7, 2.32.6, 2.31.7 və 2.30.8-in düzəldici buraxılışları nəşr edilmişdir, bunlardan ikisi yerli klon optimallaşdırmalarına və "git tətbiq et" əmrinə təsir edən zəifliklər aradan qaldırılır. Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD səhifələrindəki paylamalarda paket yeniləmələrinin buraxılışını izləyə bilərsiniz. Əgər yeniləməni quraşdırmaq mümkün deyilsə, git klonunu --recurse-submodules seçimi ilə etibarsız depolarda işə salmamaq və etibarsız kodla git application və git am əmrlərindən istifadə etməmək üçün həll yolu kimi tövsiyə olunur.
- CVE-2023-22490 zəifliyi klonlaşdırılmış repozitoriyanın məzmununa nəzarət edən təcavüzkara istifadəçinin sistemindəki məxfi məlumatlara giriş əldə etməyə imkan verir. İki qüsur zəifliyin yaranmasına kömək edir:
Birinci qüsur, xüsusi hazırlanmış repozitoriya ilə işləyərkən, hətta xarici sistemlərlə qarşılıqlı əlaqədə olan nəqliyyatdan istifadə edərkən yerli klonlama optimallaşdırmalarından istifadə etməyə imkan verir.
İkinci çatışmazlıq $GIT_DIR/objects kataloqunun yerinə simvolik keçidin yerləşdirilməsinə imkan verir, CVE-2022-39253 zəifliyinə bənzər, onun düzəlişində $GIT_DIR/objects kataloqunda simvolik keçidlərin yerləşdirilməsi bloklanırdı, lakin fakt $GIT_DIR/objects qovluğunun özünün yoxlanılmaması simvolik keçid ola bilər.
Yerli klon rejimində git simvolik keçidlərə istinad edərək $GIT_DIR/obyektləri hədəf kataloqa köçürür, bu da istinad edilən faylların birbaşa hədəf kataloquna kopyalanmasına səbəb olur. Qeyri-yerli daşıma üçün yerli klon optimallaşdırmalarından istifadəyə keçid xarici repozitoriyalarla işləyərkən zəiflikdən istifadə etməyə imkan verir (məsələn, “git clone --recurse-submodules” əmri ilə submodulların rekursiv daxil edilməsi kimi paketlənmiş zərərli repozitoriyanın klonlanmasına səbəb ola bilər. başqa bir depodakı alt modul).
- CVE-2023-23946 zəifliyi xüsusi formatlaşdırılmış daxiletməni "git apply" əmrinə ötürməklə, iş qovluğundan kənarda olan faylların məzmununun üzərinə yazmağa imkan verir. Məsələn, hücum bir təcavüzkar tərəfindən hazırlanmış yamalar “git application”da işləndikdə edilə bilər. Yamaqların işləyən nüsxədən kənar faylların yaradılmasının qarşısını almaq üçün "git application" simvolik keçidlərdən istifadə edərək fayl yazmağa cəhd edən yamaqların işlənməsini bloklayır. Ancaq bu qorunma ilk növbədə simvolik bir əlaqə yaratmaqla yan keçdi.
Mənbə: opennet.ru