Kho qhov tso tawm ntawm kev faib tawm tswj qhov system Git 2.40.1, 2.39.3, 2.38.5, 2.37.7, 2.36.6, 2.35.8, 2.34.8, 2.33.8, 2.32.7, 2.31.8 thiab 2.30.9 muaj tau luam tawm .XNUMX, uas kho tsib qhov tsis zoo. Koj tuaj yeem ua raws li kev tso tawm pob tshiab hauv kev faib tawm ntawm Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD nplooj ntawv. Raws li kev ua haujlwm los tiv thaiv qhov tsis zoo, nws raug nquahu kom tsis txhob khiav qhov "git thov --reject" hais kom ua thaum ua haujlwm nrog cov khoom siv sab nraud, thiab xyuas cov ntsiab lus ntawm $ GIT_DIR / config ua ntej khiav "git submodule deinit", "git config --rename-section" thiab "git config --remove-section" thaum cuam tshuam nrog cov chaw khaws khoom tsis ntseeg.
Vulnerability CVE-2023-29007 tso cai hloov chaw hauv $GIT_DIR/config configuration file, uas tuaj yeem siv los ua cov cai hauv lub kaw lus los ntawm kev qhia txog txoj hauv kev rau cov ntaub ntawv ua tiav hauv core.pager, core.editor thiab core.sshCommand cov lus qhia. Qhov tsis zoo yog tshwm sim los ntawm qhov yuam kev vim tias qhov kev teeb tsa ntev heev tuaj yeem raug kho raws li qhov pib ntawm ntu tshiab thaum hloov npe lossis rho tawm ib ntu los ntawm cov ntaub ntawv teeb tsa. Hauv kev xyaum, kev hloov pauv ntawm cov txiaj ntsig siv tau tuaj yeem ua tiav los ntawm kev qhia qhov ntev heev submodule URLs uas tau khaws cia rau hauv cov ntaub ntawv $GIT_DIR/config thaum pib. Cov URLs no tuaj yeem txhais raws li qhov chaw tshiab thaum sim tshem lawv ntawm "git submodule deinit".
Vulnerability CVE-2023-25652 tso cai overwriting cov ntsiab lus ntawm cov ntaub ntawv sab nraum cov ntoo ua hauj lwm thaum tshwj xeeb crafted thaj ua rau cov txheej txheem los ntawm "git thov --reject" hais kom ua. Yog tias koj sim ua qhov ua tsis zoo nrog rau "git thov" cov lus txib uas sim sau rau hauv cov ntaub ntawv los ntawm cov cim txuas, kev ua haujlwm yuav raug tsis lees paub. Hauv Git 2.39.1, symlink manipulation tiv thaiv tau txuas ntxiv los thaiv thaj ua rau thaj uas tsim symlinks thiab sim sau los ntawm lawv. Lub ntsiab lus ntawm qhov tsis zoo nyob rau hauv kev txiav txim siab yog tias Git tsis tau xav txog tias tus neeg siv tuaj yeem ua tiav "git thov -reject" hais kom sau qhov tsis lees paub ntawm thaj ua cov ntaub ntawv nrog ".rej" txuas ntxiv, thiab tus neeg tawm tsam tuaj yeem siv lub sijhawm no los sau cov ntsiab lus mus rau ib daim ntawv teev npe arbitrary, raws li qhov kev tso cai tam sim no tso cai rau nws.
Tsis tas li ntawd, peb qhov tsis zoo uas tshwm sim tsuas yog hauv Windows platform tau raug kho: CVE-2023-29012 (nrhiav rau doskey.exe executable nyob rau hauv cov ntaub ntawv ua hauj lwm ntawm lub repository thaum ua tiav "Git CMD" hais kom ua, uas tso cai rau koj los npaj. Kev ua tiav ntawm koj cov cai ntawm tus neeg siv lub cev), CVE-2023 -25815 (tsis muaj dej ntws thaum ua cov ntaub ntawv hauv cheeb tsam hauv gettext) thiab CVE-2023-29011 (muaj peev xwm hloov cov ntaub ntawv txuas.exe thaum ua haujlwm los ntawm SOCKS5).
Tau qhov twg los: opennet.ru