Mwepụta mmezi nke sistemụ njikwa isi iyi ekesa Git 2.40.1, 2.39.3, 2.38.5, 2.37.7, 2.36.6, 2.35.8, 2.34.8, 2.33.8, 2.32.7, 2.31.8 na 2.30.9. e bipụtala .XNUMX, bụ nke e wepụrụ adịghị ike ise. Ị nwere ike soro ntọhapụ nke mmelite ngwugwu na nkesa na ibe Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD. Dị ka ebe a na-arụ ọrụ iji chebe onwe ya pụọ na adịghị ike, a na-atụ aro ka ị zere ịgba ọsọ "git apply --reject" mgbe ị na-arụ ọrụ na patches mpụga na-anwaleghị, yana ịlele ọdịnaya nke $ GIT_DIR/config tupu ịmalite "git submodule deinit", "git" config --rename-section" na "git config --remove-section" mgbe ị na-arụ ọrụ na ebe nchekwa na-enweghị ntụkwasị obi.
Ihe ọghọm CVE-2023-29007 na-enye ohere nnọchi nke ntọala na $ GIT_DIR / config nhazi faịlụ, nke enwere ike iji mebie koodu na sistemụ site na ịkọwa ụzọ maka faịlụ executable na core.pager, core.editor na core.sshCommand ntuziaka. . Ọdịmma ahụ bụ n'ihi njehie mgbagha nke nwere ike ime ka a na-emeso ụkpụrụ nhazi ogologo dị ka mmalite nke ngalaba ọhụrụ mgbe ị na-emegharị aha ma ọ bụ hichapụ ọrụ na ngalaba site na faịlụ nhazi. Na omume, enwere ike nweta nnọchi nke ụkpụrụ na-erigbu adịghị ike site na ịkọwapụta URL dị ogologo nke submodules, nke echekwara na $ GIT_DIR/config faịlụ n'oge mbido. Enwere ike ịtụgharị URL ndị a dị ka ntọala ọhụrụ mgbe ị na-achọ iwepụ ha site na "git submodule deinit".
Ihe ọghọm CVE-2023-25652 na-enye ohere ka edegharịa ọdịnaya nke faịlụ ndị na-abụghị osisi na-arụ ọrụ mgbe ejiri iwu “git apply –reject” na-ahazi patches pụrụ iche emebere. Ọ bụrụ n’ịgbalị iji “git apply” mebie patch obi ọjọọ nke na-anwa ide na faịlụ site na njikọ ihe atụ, a ga-ajụ ọrụ ahụ. Na Git 2.39.1, agbasawanyela nchebe megide njikwa symlink iji gbochie patches na-emepụta symlinks wee nwaa ide site na ha. Ihe dị mkpa nke adịghị ike a na-ajụ bụ na Git echeghị na onye ọrụ nwere ike ịgba ọsọ "git apply -reject" iwu iji dee akụkụ ndị a jụrụ ajụ dị ka faịlụ nwere ndọtị ".rej" na onye na-awakpo nwere ike iji nke a. ohere ide ihe dị n'ime ya na akwụkwọ ndekọ aha aka ike, dịka ikike ịnweta ugbu a na-ekwe ka nke a.
Na mgbakwunye, edobere adịghị ike atọ na-apụta naanị na ikpo okwu Windows: CVE-2023-29012 (chọọ executable doskey.exe na ndekọ ọrụ nke ebe nchekwa mgbe ị na-eme iwu “Git CMD” nke na-enye gị ohere ịhazi ya. mmezu nke koodu gị na sistemụ onye ọrụ), CVE-2023 -25815 (oke njupụta mgbe ị na-ahazi faịlụ mpaghara ahaziri ahaziri iche na gettext) na CVE-2023-29011 (nwere ike ịmegharị faịlụ connect.exe mgbe ị na-arụ ọrụ site na SOCKS5).
isi: opennet.ru