Git 2.38.4, 2.37.6, 2.36.5, 2.35.7, 2.34.7, 2.33.7, 2.32.6, 2.31.7 eta 2.30.8 bertsio zuzentzaileak argitaratu dira, eta horietan bi argitaratu dira. ahultasunak ezabatzen dira, tokiko klonen optimizazioei eta "git apply" komandoari eraginez. Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD orrietan banatutako paketeen eguneraketak jarrai ditzakezu. Eguneratzerik instalatu ezinezkoa bada, konponbide gisa, gomendatzen da "--recurse-submodules" aukerarekin "--recurse-submodules" aukerarekin ez exekutatu fidagarriak diren biltegietan, eta ez erabiltzea "git apply" eta "git". am" komandoak fidagarria ez den kode batekin.
- Ahultasuna CVE-2023-22490 klonatutako biltegi baten edukia kontrolatzen duen erasotzaile bati erabiltzailearen sisteman isilpeko datuetarako sarbidea ahalbidetzen du. Bi akatsek ahultasuna sortzen laguntzen dute:
Lehen akatsak aukera ematen du, bereziki diseinatutako biltegi batekin lan egiten denean, tokiko klonazio-optimizazioen erabilera lortzeko, nahiz eta kanpoko sistemekin elkarreragiten duen garraioa erabili.
Bigarren akatsak $GIT_DIR/objects direktorioaren ordez esteka sinboliko bat jartzea ahalbidetzen du, CVE-2022-39253 ahultasunaren antzera, zeinaren konponbidean esteka sinbolikoen kokapena $GIT_DIR/objects direktorioan blokeatuta zegoen, baina hain zuzen. $GIT_DIR/objects direktorioa bera ez dela egiaztatu esteka sinboliko bat izan daiteke.
Klonazio lokalean, git-ek $GIT_DIR/objects helburuko direktoriora mugitzen ditu esteka sinbolikoak deserreferentziatuz, eta horrek erreferentziatutako fitxategiak helburuko direktoriora zuzenean kopiatzen ditu. Tokikoa ez den garraiorako tokiko klonen optimizazioak erabiltzera aldatzeak ahultasunak ustiatzeko aukera ematen du kanpoko biltegiekin lan egiten duzunean (adibidez, "git clone --recurse-submodules" komandoarekin azpimoduluak modu errekurtsiboan sartzeak asmo txarreko biltegi baten klonazioa ekar dezake. azpimodulua beste biltegi batean).
- Zaurgarritasuna CVE-2023-23946 laneko direktoriotik kanpoko fitxategien edukia gainidazteko aukera ematen du, "git apply" komandoari formateatutako sarrera berezia emanez. Adibidez, eraso bat egin daiteke erasotzaile batek prestatutako adabakiak "git apply"-en prozesatzen direnean. Adabakiak laneko kopiatik kanpo fitxategiak sortzea blokeatzeko, "git apply" esteka sinbolikoen bidez fitxategi bat idazten saiatzen diren adabakien prozesatzea blokeatzen du. Baina babes hori saihestu egin zen lotura sinboliko bat sortuz.
Iturria: opennet.ru