Git 2.35.2, 2.30.3, 2.31.2, 2.32.1, 2.33.2 eta 2.34.2 iturburu banatuaren kontrol sistemaren bertsio zuzentzaileak argitaratu dira, bi ahultasun konpontzen dituztenak:
- CVE-2022-24765 - Direktorio partekatuak dituzten erabiltzaile anitzeko sistemetan, beste erabiltzaile batek zehaztutako komandoak exekutatzeko ekar dezakeen eraso bat identifikatu da. Erasotzaileak ".git" direktorio bat sor dezake beste erabiltzaile batzuekin gainjartzen diren tokietan (adibidez, partekatutako direktorioetan edo aldi baterako fitxategiak dituzten direktorioetan) eta bertan ".git/config" konfigurazio-fitxategi bat jar dezake, deitutako kudeatzaileen konfigurazioarekin. zenbait ataza exekutatzen dira.git komandoak (adibidez, core.fsmonitor parametroa erabil dezakezu kodearen exekuzioa antolatzeko).
β.git/configβ-en definitutako kudeatzaileei beste erabiltzaile baten eskubideekin deituko zaie erabiltzaile horrek git erabiltzen badu erasotzaileak sortutako β.gitβ azpidirektorioa baino maila altuago batean kokatutako direktorio batean. Deia zeharka ere egin daiteke, adibidez, git onartzen duten kode-editoreak erabiltzen dituzunean, adibidez, VS Code eta Atom, edo "git status" exekutatzen duten gehigarriak erabiltzen dituzunean (adibidez, Git Bash edo posh-git). Git 2.35.2-n, ahultasuna blokeatu zen azpiko direktorioetan ".git" bilatzeko logikan egindako aldaketen bidez (orain ez da kontuan hartzen ".git" direktorioa beste erabiltzaile baten jabetzakoa bada).
- CVE-2022-24767 Windows plataformako berariazko ahultasun bat da, eta kodea exekutatzeko aukera ematen du SISTEMA pribilegioekin Git for Windows programaren Desinstalazio eragiketa exekutatzen denean. Arazoa desinstalatzailea sistemaren erabiltzaileek idazteko moduko aldi baterako direktorio batean exekutatzen delako sortzen da. Erasoa ordezko DLLak behin-behineko direktorio batean jarriz egiten da, desinstalatzailea abiarazten denean SISTEMA eskubideekin kargatuko dena.
Iturria: opennet.ru