Gyaran sakewa na tsarin sarrafa tushen rarraba Git 2.38.4, 2.37.6, 2.36.5, 2.35.7, 2.34.7, 2.33.7, 2.32.6, 2.31.7 da 2.30.8 an buga, wanda ya gyara. lahani biyu, yana shafar ingantawa don cloning na gida da kuma umarnin "git apply". Kuna iya bin diddigin sakin sabuntawar fakiti a cikin rabawa akan shafukan Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD. Idan ba zai yiwu a shigar da sabuntawar ba, ana ba da shawarar azaman hanyar warwarewa don guje wa yin aikin "git clone" tare da zaɓin "--recurse-submodules" akan ma'ajin da ba a amince da su ba, kuma don guje wa amfani da "git apply" da " git am" yayi umarni akan ma'ajin da ba a amince da su ba. code.
- Rashin lahani na CVE-2023-22490 yana bawa maharin da ke sarrafa abubuwan da ke cikin ma'ajiyar cloned damar samun damar yin amfani da mahimman bayanai akan tsarin mai amfani. Kasawa guda biyu suna ba da gudummawa ga bayyanar rauni:
Lalacewar farko ta ba da damar, lokacin aiki tare da ƙayyadaddun kayan ajiya na musamman, don cimma nasarar amfani da haɓakar cloning na gida ko da lokacin amfani da jigilar da ke hulɗa da tsarin waje.
Laifi na biyu yana ba da damar sanya hanyar haɗin yanar gizo ta alama maimakon $ GIT_DIR/ directory abubuwa, kama da raunin CVE-2022-39253, gyara wanda ya toshe sanya hanyoyin haɗin gwiwa a cikin $ GIT_DIR / abubuwan directory, amma bai yi ba. duba gaskiyar cewa $GIT_DIR/ directory abu da kanta na iya zama hanyar haɗi ta alama.
A cikin yanayin cloning na gida, git yana canja wurin $ GIT_DIR/abubuwa zuwa adireshin da aka yi niyya ta hanyar kawar da alamomin, wanda ke sa fayilolin da aka ambata kai tsaye za a kwafi zuwa adireshin da aka yi niyya. Canja don amfani da ingantawar cloning na gida don jigilar da ba na gida ba yana ba da damar yin amfani da lahani yayin aiki tare da ma'ajiyar waje (misali, akai-akai gami da ƙananan kayayyaki tare da umarnin "git clone-recurse-submodules" na iya haifar da cloning na ma'ajiya mai ɓarna wanda aka kunshe a matsayin submodule. a wani wurin ajiya).
- Rashin lahani CVE-2023-23946 yana ba da damar abubuwan da ke cikin fayilolin da ke waje da kundin adireshi don a sake rubuta su ta hanyar wucewa na musamman da aka kera zuwa umarnin "git apply". Misali, ana iya kai hari yayin sarrafa facin da maharin ya shirya a “git apply”. Don toshe faci daga ƙirƙirar fayiloli a wajen kwafin aiki, "git apply" yana toshe sarrafa facin da ke ƙoƙarin rubuta fayil ta amfani da alamomi. Amma ya bayyana cewa ana iya ƙetare wannan kariyar ta hanyar ƙirƙirar hanyar haɗin gwiwa a farkon wuri.
source: budenet.ru