ವಿತರಿಸಿದ ಮೂಲ ನಿಯಂತ್ರಣ ವ್ಯವಸ್ಥೆಯ ಸರಿಪಡಿಸುವ ಬಿಡುಗಡೆಗಳು Git 2.40.1, 2.39.3, 2.38.5, 2.37.7, 2.36.6, 2.35.8, 2.34.8, 2.33.8, 2.32.7, 2.31.8 ಮತ್ತು 2.30.9. .XNUMX ಅನ್ನು ಪ್ರಕಟಿಸಲಾಗಿದೆ, ಇದು ಐದು ದೋಷಗಳನ್ನು ಸರಿಪಡಿಸಿದೆ. Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD ಪುಟಗಳಲ್ಲಿನ ವಿತರಣೆಗಳಲ್ಲಿ ಪ್ಯಾಕೇಜ್ ನವೀಕರಣಗಳ ಬಿಡುಗಡೆಯನ್ನು ನೀವು ಅನುಸರಿಸಬಹುದು. ದುರ್ಬಲತೆಗಳಿಂದ ರಕ್ಷಿಸಲು ಪರಿಹಾರವಾಗಿ, ಪರೀಕ್ಷಿಸದ ಬಾಹ್ಯ ಪ್ಯಾಚ್ಗಳೊಂದಿಗೆ ಕೆಲಸ ಮಾಡುವಾಗ "git apply --reject" ಆಜ್ಞೆಯನ್ನು ಚಲಾಯಿಸುವುದನ್ನು ತಪ್ಪಿಸಲು ಶಿಫಾರಸು ಮಾಡಲಾಗಿದೆ ಮತ್ತು "git submodule deinit", "git ಅನ್ನು ಚಲಾಯಿಸುವ ಮೊದಲು $GIT_DIR/config ನ ವಿಷಯಗಳನ್ನು ಪರಿಶೀಲಿಸಿ. ವಿಶ್ವಾಸಾರ್ಹವಲ್ಲದ ರೆಪೊಸಿಟರಿಗಳೊಂದಿಗೆ ವ್ಯವಹರಿಸುವಾಗ config --rename-section" ಮತ್ತು " git config --remove-section".
ದುರ್ಬಲತೆ CVE-2023-29007 $GIT_DIR/config ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್ನಲ್ಲಿ ಸೆಟ್ಟಿಂಗ್ಗಳ ಪರ್ಯಾಯವನ್ನು ಅನುಮತಿಸುತ್ತದೆ, core.pager, core.editor ಮತ್ತು core.sshCommand ನಿರ್ದೇಶನಗಳಲ್ಲಿ ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ಗಳಿಗೆ ಮಾರ್ಗಗಳನ್ನು ಸೂಚಿಸುವ ಮೂಲಕ ಸಿಸ್ಟಮ್ನಲ್ಲಿ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಇದನ್ನು ಬಳಸಬಹುದು. ದುರ್ಬಲತೆಯು ತಾರ್ಕಿಕ ದೋಷದಿಂದ ಉಂಟಾಗುತ್ತದೆ, ಇದರಿಂದಾಗಿ ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್ನಿಂದ ವಿಭಾಗವನ್ನು ಮರುಹೆಸರಿಸುವಾಗ ಅಥವಾ ಅಳಿಸುವಾಗ ಬಹಳ ದೀರ್ಘವಾದ ಕಾನ್ಫಿಗರೇಶನ್ ಮೌಲ್ಯಗಳನ್ನು ಹೊಸ ವಿಭಾಗದ ಪ್ರಾರಂಭವಾಗಿ ಪರಿಗಣಿಸಬಹುದು. ಪ್ರಾಯೋಗಿಕವಾಗಿ, ಪ್ರಾರಂಭದ ಸಮಯದಲ್ಲಿ $GIT_DIR/config ಫೈಲ್ನಲ್ಲಿ ಸಂಗ್ರಹವಾಗಿರುವ ದೀರ್ಘವಾದ ಉಪಮಾಡ್ಯೂಲ್ URL ಗಳನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸುವ ಮೂಲಕ ಶೋಷಣೆಯ ಮೌಲ್ಯಗಳ ಪರ್ಯಾಯವನ್ನು ಸಾಧಿಸಬಹುದು. "git submodule deinit" ಮೂಲಕ ಅವುಗಳನ್ನು ತೆಗೆದುಹಾಕಲು ಪ್ರಯತ್ನಿಸುವಾಗ ಈ URL ಗಳನ್ನು ಹೊಸ ಸೆಟ್ಟಿಂಗ್ಗಳಾಗಿ ಅರ್ಥೈಸಿಕೊಳ್ಳಬಹುದು.
ದುರ್ಬಲತೆ CVE-2023-25652 ವಿಶೇಷವಾಗಿ ರಚಿಸಲಾದ ಪ್ಯಾಚ್ಗಳನ್ನು "git apply --reject" ಆಜ್ಞೆಯಿಂದ ಪ್ರಕ್ರಿಯೆಗೊಳಿಸಿದಾಗ ಕೆಲಸ ಮಾಡುವ ಮರದ ಹೊರಗೆ ಫೈಲ್ಗಳ ವಿಷಯಗಳನ್ನು ಓವರ್ರೈಟ್ ಮಾಡಲು ಅನುಮತಿಸುತ್ತದೆ. ಸಾಂಕೇತಿಕ ಲಿಂಕ್ ಮೂಲಕ ಫೈಲ್ಗೆ ಬರೆಯಲು ಪ್ರಯತ್ನಿಸುವ "git apply" ಆಜ್ಞೆಯೊಂದಿಗೆ ನೀವು ದುರುದ್ದೇಶಪೂರಿತ ಪ್ಯಾಚ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಪ್ರಯತ್ನಿಸಿದರೆ, ಕಾರ್ಯಾಚರಣೆಯನ್ನು ತಿರಸ್ಕರಿಸಲಾಗುತ್ತದೆ. Git 2.39.1 ರಲ್ಲಿ, ಸಿಮ್ಲಿಂಕ್ ಮ್ಯಾನಿಪ್ಯುಲೇಷನ್ ರಕ್ಷಣೆಯನ್ನು ಸಿಮ್ಲಿಂಕ್ಗಳನ್ನು ರಚಿಸುವ ಮತ್ತು ಅವುಗಳ ಮೂಲಕ ಬರೆಯಲು ಪ್ರಯತ್ನಿಸುವ ಪ್ಯಾಚ್ಗಳನ್ನು ನಿರ್ಬಂಧಿಸಲು ವಿಸ್ತರಿಸಲಾಗಿದೆ. ಪರಿಗಣನೆಯಲ್ಲಿರುವ ದುರ್ಬಲತೆಯ ಮೂಲತತ್ವವೆಂದರೆ, ".rej" ವಿಸ್ತರಣೆಯೊಂದಿಗೆ ಪ್ಯಾಚ್ನ ತಿರಸ್ಕರಿಸಿದ ಭಾಗಗಳನ್ನು ಫೈಲ್ಗಳಾಗಿ ಬರೆಯಲು ಬಳಕೆದಾರರು "git apply -reject" ಆಜ್ಞೆಯನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದು ಎಂಬುದನ್ನು Git ಗಣನೆಗೆ ತೆಗೆದುಕೊಂಡಿಲ್ಲ ಮತ್ತು ಆಕ್ರಮಣಕಾರರು ಮಾಡಬಹುದು ಪ್ರಸ್ತುತ ಅನುಮತಿಗಳು ಅನುಮತಿಸುವವರೆಗೆ ವಿಷಯಗಳನ್ನು ಅನಿಯಂತ್ರಿತ ಡೈರೆಕ್ಟರಿಗೆ ಬರೆಯಲು ಈ ಅವಕಾಶವನ್ನು ಬಳಸಿ.
ಹೆಚ್ಚುವರಿಯಾಗಿ, ವಿಂಡೋಸ್ ಪ್ಲಾಟ್ಫಾರ್ಮ್ನಲ್ಲಿ ಮಾತ್ರ ಗೋಚರಿಸುವ ಮೂರು ದೋಷಗಳನ್ನು ಪರಿಹರಿಸಲಾಗಿದೆ: CVE-2023-29012 ("Git CMD" ಆಜ್ಞೆಯನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವಾಗ ರೆಪೊಸಿಟರಿಯ ಕಾರ್ಯನಿರ್ವಹಣೆಯ ಡೈರೆಕ್ಟರಿಯಲ್ಲಿ ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ doskey.exe ಅನ್ನು ಹುಡುಕಿ, ಅದು ನಿಮಗೆ ಸಂಘಟಿಸಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ. ಬಳಕೆದಾರರ ಸಿಸ್ಟಮ್ನಲ್ಲಿ ನಿಮ್ಮ ಕೋಡ್ನ ಕಾರ್ಯಗತಗೊಳಿಸುವಿಕೆ), CVE-2023 -25815 (ಗೆಟ್ಟೆಕ್ಸ್ಟ್ನಲ್ಲಿ ಕಸ್ಟಮ್ ಸ್ಥಳೀಕರಣ ಫೈಲ್ಗಳನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುವಾಗ ಬಫರ್ ಓವರ್ಫ್ಲೋ) ಮತ್ತು CVE-2023-29011 (SOCKS5 ಮೂಲಕ ಕೆಲಸ ಮಾಡುವಾಗ connect.exe ಫೈಲ್ ಅನ್ನು ಬದಲಿಸುವ ಸಾಧ್ಯತೆ).
ಮೂಲ: opennet.ru