ʻO nā hoʻokuʻu hoʻoponopono ʻana o ka ʻōnaehana mana kumu i puʻunaue ʻia ʻo Git 2.40.1, 2.39.3, 2.38.5, 2.37.7, 2.36.6, 2.35.8, 2.34.8, 2.33.8, 2.32.7, 2.31.8 a me 2.30.9 ua paʻi ʻia .XNUMX, i hoʻopaʻa i ʻelima mau nāwaliwali. Hiki iā ʻoe ke hahai i ka hoʻokuʻu ʻana o nā hōʻano hou i ka hāʻawi ʻana ma nā ʻaoʻao Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD. Ma ke ʻano he hana e pale aku ai i nā nāwaliwali, ʻōlelo ʻia e pale i ka holo ʻana i ke kauoha "git apply --reject" i ka wā e hana ai me nā ʻāpana waho i hoʻāʻo ʻole ʻia, a nānā i nā mea o $ GIT_DIR/config ma mua o ka holo ʻana i ka "git submodule deinit", "git. config --rename-section" a me "git config --remove-section" i ka wā e pili ana i nā waihona hilinaʻi ʻole.
Hiki i ka Vulnerability CVE-2023-29007 ke hoʻololi i nā hoʻonohonoho ma ka waihona hoʻonohonoho $ GIT_DIR/config, hiki ke hoʻohana ʻia e hoʻokō i nā code i loko o ka ʻōnaehana ma ke kuhikuhi ʻana i nā ala i nā faila hiki ke hoʻokō ʻia ma nā kuhikuhi core.pager, core.editor a me core.sshCommand. Hoʻokumu ʻia ka vulnerability e kahi hewa kūpono no ka mea hiki ke mālama ʻia nā waiwai hoʻonohonoho lōʻihi loa e like me ka hoʻomaka ʻana o kahi ʻāpana hou i ka wā e hoʻololi ai a holoi paha i kahi ʻāpana mai kahi faila hoʻonohonoho. I ka hoʻomaʻamaʻa, hiki ke hoʻokō ʻia ka hoʻololi ʻana i nā waiwai hoʻohana ma ka wehewehe ʻana i nā URL submodule lōʻihi loa i mālama ʻia i ka faila $GIT_DIR/config i ka wā o ka hoʻomaka ʻana. Hiki ke unuhi ʻia kēia mau URL ma ke ʻano he hoʻonohonoho hou ke hoʻāʻo nei e wehe iā lākou ma o "git submodule deinit".
ʻAe ʻo Vulnerability CVE-2023-25652 i ke kākau ʻana i nā ʻike o nā faila ma waho o ka lāʻau hana ke hana ʻia nā pā i hana ʻia e ke kauoha "git apply --reject". Inā ʻoe e hoʻāʻo e hoʻokō i kahi ʻāpana ʻino me ke kauoha "git apply" e hoʻāʻo nei e kākau i kahi faila ma o kahi loulou hōʻailona, e hōʻole ʻia ka hana. Ma Git 2.39.1, ua hoʻonui ʻia ka pale manipulation symlink e ālai i nā pā i hana i nā symlink a hoʻāʻo e kākau ma o lākou. ʻO ke kumu o ka nāwaliwali e noʻonoʻo ʻia ʻaʻole i noʻonoʻo ʻo Git i hiki i ka mea hoʻohana ke hoʻokō i ke kauoha "git apply -reject" e kākau i nā ʻāpana i hōʻole ʻia o ka patch e like me nā faila me ka ".rej" extension, a hiki i ka mea hoʻouka. E hoʻohana i kēia manawa kūpono e kākau i nā mea i loko o kahi papa kuhikuhi ʻokoʻa, e like me ka ʻae ʻia o kēia manawa.
Eia kekahi, ua hoʻopaʻa ʻia ʻekolu mau nāwaliwali i ʻike ʻia ma ka platform Windows: CVE-2023-29012 (ʻimi i ka doskey.exe hiki ke hoʻokō ʻia ma ka papa kuhikuhi hana o ka waihona i ka wā e hoʻokō ai i ke kauoha "Git CMD", e hiki ai iā ʻoe ke hoʻonohonoho. ka hoʻokō ʻana i kāu code ma ka ʻōnaehana o ka mea hoʻohana), CVE-2023 -25815 (ka hoʻopau ʻana i nā faila localization maʻamau i gettext) a me CVE-2023-29011 (hiki ke hoʻololi i ka faila connect.exe i ka wā e hana ana ma SOCKS5).
Source: opennet.ru