Ua paʻi ʻia nā hoʻokuʻu hoʻoponopono ʻana o ka ʻōnaehana mana kumu i puʻunaue ʻia ʻo Git 2.38.4, 2.37.6, 2.36.5, 2.35.7, 2.34.7, 2.33.7, 2.32.6, 2.31.7 a me 2.30.8. ʻelua mau nāwaliwali, e pili ana i ka optimizations no ka cloning kūloko a me ke kauoha "git apply". Hiki iā ʻoe ke hahai i ka hoʻokuʻu ʻia ʻana o nā hōʻano hou i ka hāʻawi ʻana ma nā ʻaoʻao o Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD. Inā ʻaʻole hiki ke hoʻokomo i ka hoʻopou, ua ʻōlelo ʻia e like me kahi workaround e pale aku i ka hana ʻana i ka hana "git clone" me ke koho "--recurse-submodules" ma nā waihona hilinaʻi ʻole, a e pale i ka hoʻohana ʻana i ka "git apply" a " git am" kauoha ma nā waihona hilinaʻi ʻole. code.
- ʻO ka vulnerability CVE-2023-22490 e hiki ai i ka mea hoʻouka ke hoʻomalu i nā mea o kahi waihona cloned e loaʻa i ka ʻikepili koʻikoʻi ma ka ʻōnaehana o ka mea hoʻohana. ʻElua mau hemahema e kōkua i ka puka ʻana o ka nāwaliwali:
ʻO ka hapa mua e ʻae, i ka wā e hana ai me kahi waihona i hoʻolālā ʻia, e hoʻokō i ka hoʻohana ʻana i nā cloning optimizations kūloko ʻoiai ke hoʻohana nei i kahi kaʻa e launa pū me nā ʻōnaehana waho.
ʻO ka lua o ka hewa e hiki ai ke hoʻokomo i kahi loulou hōʻailona ma kahi o ka $ GIT_DIR / papa kuhikuhi mea, e like me ka vulnerability CVE-2022-39253, ka mea hoʻoponopono i kāohi ai i ke kau ʻana o nā loulou hōʻailona ma ka papa kuhikuhi $ GIT_DIR/objects, akā ʻaʻole naʻe. e nānā i ka ʻoiaʻiʻo o ka papa kuhikuhi $ GIT_DIR/objects ponoʻī he loulou hōʻailona.
Ma ke ʻano cloning kūloko, hoʻololi ʻo git i ka $ GIT_DIR/mea i ka papa kuhikuhi kuhikuhi ma o ka hoʻokaʻawale ʻana i nā symlinks, kahi e kope ʻia ai nā faila i kuhikuhi ʻia i ka papa kuhikuhi. ʻO ka hoʻololi ʻana e hoʻohana i nā loiloi cloning kūloko no ka halihali ʻaʻole kūloko e hiki ai i ka hoʻohana ʻana i nā nāwaliwali i ka wā e hana ai me nā waihona waho (e like me ka recursively me nā submodules me ke kauoha "git clone -recurse-submodules" hiki ke alakaʻi i ka cloning o kahi waihona ʻino i hoʻopili ʻia ma ke ʻano he submodule. ma kahi waihona ʻē aʻe).
- Hiki i ka Vulnerability CVE-2023-23946 ke hoʻololi i nā waihona ma waho o ka papa kuhikuhi hana ma ke kau ʻana i ka hoʻokomo kūikawā i ke kauoha "git apply". No ka laʻana, hiki ke hoʻouka ʻia i ka wā o ka hana ʻana i nā pā i hoʻomākaukau ʻia e ka mea hoʻouka kaua ma "git apply". No ka pale ʻana i nā ʻāpana mai ka hana ʻana i nā faila ma waho o ke kope hana, "git apply" nā poloka i ka hoʻoponopono ʻana i nā patch e hoʻāʻo nei e kākau i kahi faila me ka hoʻohana ʻana i nā symlinks. Akā ua ʻike ʻia e hiki ke pale ʻia kēia pale ma ka hana ʻana i kahi loulou hōʻailona ma kahi mua.
Source: opennet.ru