Ua hoʻokuʻu ʻia nā ʻāpana Git 2.39.1, 2.38.3, 2.37.5, 2.36.4, 2.35.6, 2.34.6, 2.33.6, 2.32.5, 2.31.6, a me 2.30.7 no ka ʻōnaehana hoʻokele code kumu i hoʻolaha ʻia ʻo Git. Hoʻoponopono kēia mau ʻāpana i ʻelua mau nāwaliwali e hiki ai ke hoʻokō ʻia ke code maʻamau ma ka ʻōnaehana o kahi mea hoʻohana i ka wā e hoʻohana ai i ke kauoha "git archive" a me ka hana ʻana me nā waihona waho i hilinaʻi ʻole ʻia. Hoʻokumu ʻia kēia mau nāwaliwali e nā hewa i loko o ke code formatting commit a me ka parsing o ka faila ".gitattributes". I ka wā e hana ai i nā waihona waho, hiki i kēia mau hewa ke alakaʻi i nā kākau hoʻomanaʻo heap ma waho o nā palena a me nā heluhelu hoʻomanaʻo kūpono ʻole.
Ua ʻike ʻia nā nāwaliwali ʻelua i ka wā o kahi loiloi palekana o ke codebase Git i mālama ʻia e X41 ma ke noi a ka Open Source Technology Improvement Fund (OSTIF), kahi kahua i hoʻokumu ʻia e hoʻoikaika i ka palekana o nā papahana open source. Ma waho aʻe o nā pilikia koʻikoʻi ʻelua i kūkākūkā ʻia ma lalo nei, ua ʻike pū ka loiloi i hoʻokahi nāwaliwali koʻikoʻi, hoʻokahi nāwaliwali kūpono, a me ʻehā mau pilikia maikaʻi ʻole. Ua hoʻopuka pū ʻia he iwakāluakūmāhiku mau ʻōlelo aʻoaʻo no ka hoʻomaikaʻi ʻana i ka palekana o ke codebase.
- CVE-2022-41903: Aia kahi overflow integer i loko o ke code formatting commit i ka wā e lawelawe ana i nā waiwai offset nui i nā mea hoʻohana padding e like me "%<(", "%<|(", "%>(", "%>>(", a me "%><( )". Loaʻa ka overflow integer i ka hana format_and_pad_commit() ma muli o ka hoʻohana ʻana i kahi ʻano int no ka loli size_t, i hoʻohana ʻia e hoʻoholo i ka nui offset o ka poloka i kope ʻia i ka wā e kāhea ana iā memcpy().
Hōʻike ʻia ka nāwaliwali ma o ke kāhea pololei ʻana me nā palena hoʻonohonoho i hana kūikawā ʻia (no ka laʻana, i ka wā e holo ana i ka "git log --format=...") a ma o ka hoʻopili pololei ʻole ʻana o ka hoʻonohonoho ʻana i ka wā o ka hoʻokō ʻana o ke kauoha "git archive" i loko o kahi waihona i kāohi ʻia e ka mea hoʻouka. I ka hihia hope, ua kuhikuhi ʻia nā mea hoʻololi hoʻonohonoho ma o ka palena export-subst i loko o ka faila ".gitattributes", hiki ke waiho ʻia e ka mea hoʻouka i loko o kā lākou waihona. Hiki ke hoʻohana ʻia kēia nāwaliwali e heluhelu a kākau i ka hoʻomanaʻo puʻu kūpono ʻole, e alakaʻi ana i ka hoʻokō ʻana o ke code ʻino i ka wā e hana ana me nā waihona i hilinaʻi ʻole ʻia.
- CVE-2022-23521: Holo nui ka Integer i ka wā e kālailai ana i nā ʻike o nā faila ".gitattributes" i loko o kahi waihona. Hana ʻia kēia i ka wā e hana ana i kahi helu nui o nā ʻano ala faila a i ʻole kahi helu nui o nā ʻano me kahi ʻano hoʻokahi, a me ka wā e kālailai ana i nā inoa ʻano nui loa. Hiki ke hoʻohana ʻia kēia pilikia e heluhelu a kākau i nā wahi puʻu kūpono ʻole a alakaʻi i ka hoʻokō code ʻino i ka wā e hana ana me kahi waihona hilinaʻi ʻole ʻia, kahi e hiki ai i kahi mea hoʻouka ke kau i kahi faila .gitattributes i hana kūikawā ʻia a hōʻoia i kona indexing.
Hiki ke nānā ʻia ka hoʻopuka ʻana o nā mea hou o nā pūʻolo ma nā hoʻolaha ma nā ʻaoʻao aʻe: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD, NetBSD. No ka hōʻemi ʻana i ka pilikia o kahi hoʻouka kaua ma muli o ka hiki ʻole ke hoʻokomo i nā mea hou i ka manawa kūpono, paipai mākou e pale i ka hana ʻana me nā waihona i hilinaʻi ʻole ʻia a me ka hoʻohana ʻana i ke kauoha "git archive". He mea nui e hoʻomanaʻo e hiki ke holo ʻia ke kauoha "git archive" me ka ʻole o ka ʻike, no ka laʻana, mai ka git daemon. No ka hoʻopau ʻana i ka "git archive" i loko o ka git daemon, e hoʻololi i ka palena daemon.uploadArch me ka hoʻohana ʻana i ke kauoha "git config --global daemon.uploadArch false."
Eia kekahi, hiki ke ʻike ʻia kekahi nāwaliwali hou (CVE-2022-41953) ma ka Git no ka huahana Windows, kahi e ʻae ai i ka hoʻokō ʻana o ke code i ka wā e cloning ai i nā waihona waho i hilinaʻi ʻole ʻia ma o ka GUI. Hoʻokumu ʻia ka pilikia e ka ʻoiaʻiʻo ʻo ka Git GUI no Windows Ma hope o ka hana "checkout", holo koke ia i kekahi mau kauoha ma hope o ka hana ʻana, e like me ka hoʻokō ʻana i ka polokalamu spell-check e nānā i ka pela ʻana, ʻoiai ʻo nā ala huli no ka faila spell-check e hoʻokomo pū i ka lāʻau hana cloned (hoʻopau ka hoʻouka kaua i ka hoʻohui ʻana i ka spell-check i ka lāʻau hana o ka waihona).
Source: opennet.ru
