ProHoster > Pūnaewele > nūhou pūnaewele > ʻO nā nāwaliwali i Git i ka wā e hoʻopili ai i nā submodules a me ka hoʻohana ʻana i ka git shell

ʻO nā nāwaliwali i Git i ka wā e hoʻopili ai i nā submodules a me ka hoʻohana ʻana i ka git shell

Ua paʻi ʻia nā hoʻokuʻu hoʻoponopono o ka ʻōnaehana mana kumu i hoʻolaha ʻia ʻo Git 2.38.1, 2.30.6, 2.31.5, 2.32.4, 2.33.5, 2.34.5, 2.35.5, 2.36.3 a me 2.37.4. ʻelua mau haʻahaʻa, e ʻike ʻia i ka wā e hoʻohana ai i ke kauoha "git clone" i ke ʻano "-recurse-submodules" me nā waihona i ʻike ʻole ʻia a i ka wā e hoʻohana ai i ke ʻano pāʻani "git shell". Hiki iā ʻoe ke hahai i ka hoʻokuʻu ʻia ʻana o nā hōʻano hou i ka hāʻawi ʻana ma nā ʻaoʻao o Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD.

  • CVE-2022-39253 - Hāʻawi ka nāwaliwali i ka mea hoʻouka e hoʻomalu i nā ʻike o ka waihona cloned e loaʻa i ka ʻikepili huna ma ka ʻōnaehana o ka mea hoʻohana ma ke kau ʻana i nā loulou hōʻailona i nā faila hoihoi i ka papa kuhikuhi $GIT_DIR/mea o ka waihona cloned. Hōʻike wale ʻia ka pilikia i ka wā e hoʻopaʻa ʻia ai ka ʻāina (ma ke ʻano "--local", i hoʻohana ʻia i ka wā i hoʻopaʻa ʻia ai ka ʻikepili a me ka ʻikepili kumu o ka clone) a i ʻole ke hoʻopaʻa ʻana i kahi waihona ʻino i hoʻopili ʻia ma ke ʻano he submodule i kahi waihona ʻē aʻe (no ka laʻana, ke hoʻokomo hou i nā submodules me ke kauoha "git clone" --recurse-submodules").

    Hoʻokumu ʻia ka nāwaliwali ma ka ʻoiaʻiʻo ma ke ʻano cloning "--local", hoʻololi ʻo git i nā ʻike o $ GIT_DIR / mau mea i ka papa kuhikuhi kuhikuhi (hana i nā loulou paʻakikī a i ʻole kope o nā faila), e hana ana i ka dereference o nā loulou hōʻailona (ʻo ia hoʻi, e like me. ʻO ka hopena, kope ʻia nā loulou non-symbolic i ka papa kuhikuhi kuhikuhi, akā pololei nā faila i kuhikuhi ʻia nā loulou). No ka pale ʻana i ka nāwaliwali, pāpā ʻia nā hoʻokuʻu hou o git i ka cloning o nā waihona ma ke ʻano "--local" i loaʻa nā loulou hōʻailona ma ka papa kuhikuhi $ GIT_DIR/objects. Eia hou, ua hoʻololi ʻia ka waiwai paʻamau o ka protocol.file.allow parameter i "mea hoʻohana", kahi e hana ai i nā hana cloning me ka hoʻohana ʻana i ka file:// protocol ʻaʻole palekana.

  • CVE-2022-39260 - Hoʻonui ka helu helu ma ka hana split_cmdline () i hoʻohana ʻia ma ke kauoha "git shell". Hiki ke hoʻohana ʻia ka pilikia no ka hoʻouka ʻana i nā mea hoʻohana i loaʻa ka "git shell" ma ke ʻano o kā lākou shell login a ua hoʻohana ʻia ke ʻano pāʻani (ua hana ʻia kahi faila $ HOME/git-shell-commands). ʻO ka hoʻohana ʻana i ka nāwaliwali hiki ke alakaʻi i ka hoʻokō ʻana i ke code arbitrary ma ka ʻōnaehana i ka wā e hoʻouna ai i kahi kauoha i hoʻolālā kūikawā ʻoi aku ka nui ma mua o 2 GB ka nui.

Source: opennet.ru

Pākuʻi i ka manaʻo hoʻopuka