Tá eisiúintí ceartaitheacha Git 2.40.1, 2.39.3, 2.38.5, 2.37.7, 2.36.6, 2.35.8, 2.34.8, 2.33.8, 2.32.7, 2.31.8 agus 2.30.9 foilsithe . , a shocraigh cúig leochaileacht. Is féidir leat scaoileadh nuashonruithe pacáiste a leanúint i dáiltí ar na leathanaigh Debian, Ubuntu, RHEL, SUSE / openSUSE, Fedora, Arch, FreeBSD. Mar réiteach oibre chun cosaint a dhéanamh ar leochaileachtaí, moltar an t-ordú "git apply --reject" a sheachaint agus tú ag obair le paistí seachtracha neamhthástáilte, agus inneachar $GIT_DIR/config a sheiceáil sula ritheann tú an "git submodule deinit", "git config --rename-section" agus "git config --remove-section" agus iad ag déileáil le stórtha neamhiontaofa.
Leochaileacht Ceadaíonn CVE-2023-29007 socruithe a chur in ionad an chomhad cumraíochta $GIT_DIR/config, ar féidir a úsáid chun cód a rith sa chóras trí bhealaí chuig comhaid inrite a shonrú sna treoracha core.pager, core.editor agus core.sshCommand. Earráid loighciúil is cúis leis an leochaileacht mar gheall ar a bhféadfar déileáil le luachanna cumraíochta an-fhada mar thús alt nua nuair a dhéantar alt a athainmniú nó a scriosadh as comhad cumraíochta. Go praiticiúil, is féidir ionadú luachanna saothraithe a bhaint amach trí URLanna fomhodúil an-fhada a shonrú a shábhálfar sa chomhad $GIT_DIR/config le linn thúsaithe. Is féidir na URLanna seo a léirmhíniú mar shocruithe nua agus tú ag iarraidh iad a bhaint trí "git submodule deinit".
Leochaileacht Ceadaíonn CVE-2023-25652 inneachar na gcomhad lasmuigh den chrann oibre a fhorscríobh nuair a phróiseálann an t-ordú "git apply --reject" paistí atá saindéanta. Má dhéanann tú iarracht paiste mailíseach a fhorghníomhú leis an ordú "git apply" a dhéanann iarracht scríobh chuig comhad trí nasc siombalach, diúltófar don oibríocht. I Git 2.39.1, leathnaíodh cosaint ionramhála symlink chun bac a chur ar phaistí a chruthaíonn simplíinks agus a dhéanann iarracht scríobh tríothu. Is é croílár na leochaileachta atá á meas ná nár chuir Git san áireamh gur féidir leis an úsáideoir an t-ordú “git apply -reject” a fhorghníomhú chun na codanna diúltaithe den paiste a scríobh mar chomhaid leis an síneadh “.rej”, agus is féidir leis an ionsaitheoir bain úsáid as an deis seo chun an t-ábhar a scríobh chuig eolaire treallach, chomh fada agus a cheadaíonn na ceadanna reatha é.
Ina theannta sin, socraíodh trí leochaileacht nach bhfuil le feiceáil ach ar ardán Windows: CVE-2023-29012 (cuardaigh an doskey.exe inrite in eolaire oibre an stór nuair a bhíonn an t-ordú "Git CMD" á fhorghníomhú agat, rud a ligeann duit eagrú do chód a fhorghníomhú ar chóras an úsáideora), CVE-2023 -25815 (thar maolán agus comhaid logánaithe saincheaptha á bpróiseáil i gettext) agus CVE-2023-29011 (is féidir an comhad connect.exe a chur in ionad nuair a bhíonn tú ag obair trí SOCKS5).
Foinse: oscailtenet.ru