Tá paistí Git 2.38.4, 2.37.6, 2.36.5, 2.35.7, 2.34.7, 2.33.7, 2.32.6, 2.31.7, agus 2.30.8 eisithe don chóras rialaithe foinse dáilte. Tugann na paistí seo aghaidh ar dhá leochaileacht a théann i bhfeidhm ar uasmhéaduithe clónála áitiúla agus an t-ordú "git apply". Is féidir leat súil a choinneáil ar eisiúint nuashonruithe pacáiste do na dáiltí seo ar na leathanaigh seo a leanas: Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD. Mura féidir an nuashonrú a shuiteáil, mar réiteach sealadach, molaimid an oibríocht "git clone" a sheachaint leis an rogha "--recurse-submodules" le stórtha neamhiontaofa, agus gan na horduithe "git apply" agus "git am" a úsáid le cód neamhthástáilte.
- Ligeann leochaileacht CVE-2023-22490 d'ionsaitheoir a rialaíonn inneachar stór clónáilte rochtain a fháil ar shonraí íogaire ar chóras an úsáideora. Cuireann dhá locht le teacht chun cinn na leochaileachta:
Ceadaíonn an chéad locht, nuair a bhíonn tú ag obair le stór atá deartha go speisialta, úsáid optamaithe clónála áitiúla a bhaint amach fiú nuair a úsáidtear iompar a idirghníomhaíonn le córais sheachtracha.
Ligeann an dara locht nasc siombalach a chur in ionad an eolaire $GIT_DIR/objects, cosúil leis an leochaileacht CVE-2022-39253, a chuir an tsocrú bac ar naisc siombalacha a chur san eolaire $GIT_DIR/objects, ach níor chuir sé seiceáil an bhféadfadh an t-eolaire $GIT_DIR/objects féin a bheith ina nasc siombalach.
Sa mhodh clónála áitiúil, aistríonn git $GIT_DIR/objects chuig an sprioc-eolaire trí na symlinks a dhíriúnú, rud a fhágann gur féidir na comhaid a bhfuil tagairt dhíreach dóibh a chóipeáil chuig an sprioc-eolaire. Trí leas iomlán a bhaint as leas iomlán a bhaint as clónáil áitiúil le haghaidh iompair neamháitiúil, is féidir leochaileachtaí a shaothrú agus tú ag obair le stórtha seachtracha (mar shampla, trí fhomhodúil leis an ordú “git clone —recurse-submodules” a chlónáil go hathchúrsach" is féidir stór mailíseach atá pacáistithe mar fhomhodúl a chlónáil. i stór eile).
- Leochaileacht Ligeann CVE-2023-23946 inneachar na gcomhad lasmuigh den eolaire oibre a fhorscríobh trí ionchur saindeartha a chur ar aghaidh chuig an ordú "git apply". Mar shampla, is féidir ionsaí a dhéanamh le linn próiseáil paistí a d’ullmhaigh ionsaitheoir in “git apply”. Chun paistí a chosc ó chomhaid a chruthú lasmuigh den chóip oibre, cuireann "git apply" bac ar phróiseáil paistí a dhéanann iarracht comhad a scríobh ag baint úsáide as symlinks. Ach tharla sé gur féidir an chosaint seo a sheachaint trí nasc siombalach a chruthú ar an gcéad dul síos.
Foinse: oscailtenet.ru
