Git 2.40.1, 2.39.3, 2.38.5, 2.37.7, 2.36.6, 2.35.8, 2.34.8, 2.33.8, 2.32.7, 2.31.8 eta 2.30.9 dute. .XNUMX argitaratu da, bost ahultasun konpondu zituena. Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD orrietan banatutako paketeen eguneraketak jarrai ditzakezu. Ahultasunetatik babesteko konponbide gisa, "git apply --reject" komandoa saihestea gomendatzen da probatu gabeko kanpoko adabakiekin lan egitean, eta egiaztatu $GIT_DIR/config-en edukia "git submodule deinit", "git" exekutatu aurretik. config --rename-section" eta "git config --remove-section" fidagarriak ez diren biltegiekin aritzean.
Zaurgarritasuna CVE-2023-29007 $GIT_DIR/config konfigurazio fitxategiko ezarpenak ordezkatzea ahalbidetzen du, sisteman kodea exekutatzeko erabil daitekeen fitxategi exekutagarrietarako bideak zehaztuz core.pager, core.editor eta core.sshCommand zuzentarauetan. Ahultasuna errore logiko batek eragiten du, zeinaren ondorioz konfigurazio-balio oso luzeak atal berri baten hasiera gisa trata daitezke atal bat izena aldatzean edo konfigurazio fitxategi batetik ezabatzean. Praktikan, ustiapen-balioen ordezkapena lor daiteke hasierako garaian $GIT_DIR/config fitxategian gordetzen diren azpimodulu URL oso luzeak zehaztuz. URL hauek ezarpen berri gisa interpreta daitezke "git submodule deinit" bidez kentzen saiatzean.
Zaurgarritasuna CVE-2023-25652 fitxategien edukia laneko zuhaitzetik kanpo gainidazteko aukera ematen du "git apply --reject" komandoaren bidez bereziki landutako adabakiak prozesatzen direnean. Esteka sinboliko baten bidez fitxategi batean idazten saiatzen den "git apply" komandoarekin adabaki gaizto bat exekutatzen saiatzen bazara, eragiketa baztertu egingo da. Git 2.39.1-en, esteka sinbolikoen manipulazioaren babesa esteka sinbolikoak sortzen dituzten eta horien bidez idazten saiatzen diren adabakiak blokeatzeko hedatu da. Kontuan hartutako ahultasunaren funtsa da Git-ek ez zuela kontuan hartu erabiltzaileak "git apply -reject" komandoa exekuta dezakeela adabakiaren baztertutako zatiak ".rej" luzapeneko fitxategi gisa idazteko, eta erasotzaileak egin dezakeela. erabili aukera hau edukiak direktorio arbitrario batean idazteko, unean uneko baimenek ahalbidetzen duten heinean.
Horrez gain, Windows plataforman soilik agertzen diren hiru ahultasun konpondu dira: CVE-2023-29012 (bilatu doskey.exe exekutagarria biltegiko lan-direktorioan "Git CMD" komandoa exekutatzean, antolatzeko aukera ematen duena. zure kodea erabiltzailearen sisteman exekutatzeko), CVE-2023 -25815 (buffer gainezkatzea gettext-en lokalizazio fitxategi pertsonalizatuak prozesatzen diren bitartean) eta CVE-2023-29011 (SOCKS5 bidez lan egiten duzunean connect.exe fitxategia ordezkatzeko aukera).
Iturria: opennet.ru