ಪ್ರೊಹೋಸ್ಟರ್ > Блог > ಇಂಟರ್ನೆಟ್ ಸುದ್ದಿ > ಡೇಟಾ ಸೋರಿಕೆ ಮತ್ತು ಮೇಲ್ಬರಹಕ್ಕೆ ಕಾರಣವಾಗುವ Git ನಲ್ಲಿನ ದೋಷಗಳು

ಡೇಟಾ ಸೋರಿಕೆ ಮತ್ತು ಮೇಲ್ಬರಹಕ್ಕೆ ಕಾರಣವಾಗುವ Git ನಲ್ಲಿನ ದೋಷಗಳು

ವಿತರಿಸಿದ ಮೂಲ ನಿಯಂತ್ರಣ ವ್ಯವಸ್ಥೆಯ Git 2.38.4, 2.37.6, 2.36.5, 2.35.7, 2.34.7, 2.33.7, 2.32.6, 2.31.7 ಮತ್ತು 2.30.8 ಸರಿಪಡಿಸುವ ಬಿಡುಗಡೆಗಳನ್ನು ಪ್ರಕಟಿಸಲಾಗಿದೆ, ಅದನ್ನು ಸರಿಪಡಿಸಲಾಗಿದೆ ಎರಡು ದುರ್ಬಲತೆಗಳು , ಸ್ಥಳೀಯ ಕ್ಲೋನಿಂಗ್ ಮತ್ತು "git apply" ಆಜ್ಞೆಯ ಆಪ್ಟಿಮೈಸೇಶನ್‌ಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುತ್ತದೆ. ನೀವು Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD ಪುಟಗಳಲ್ಲಿ ವಿತರಣೆಗಳಲ್ಲಿ ಪ್ಯಾಕೇಜ್ ನವೀಕರಣಗಳ ಬಿಡುಗಡೆಯನ್ನು ಟ್ರ್ಯಾಕ್ ಮಾಡಬಹುದು. ನವೀಕರಣವನ್ನು ಸ್ಥಾಪಿಸಲು ಸಾಧ್ಯವಾಗದಿದ್ದರೆ, ವಿಶ್ವಾಸಾರ್ಹವಲ್ಲದ ರೆಪೊಸಿಟರಿಗಳಲ್ಲಿ "--recurse-submodules" ಆಯ್ಕೆಯೊಂದಿಗೆ "git ಕ್ಲೋನ್" ಕಾರ್ಯಾಚರಣೆಯನ್ನು ಮಾಡುವುದನ್ನು ತಪ್ಪಿಸಲು ಮತ್ತು "git apply" ಮತ್ತು " ಬಳಸುವುದನ್ನು ತಪ್ಪಿಸಲು ಇದನ್ನು ಪರಿಹಾರವಾಗಿ ಶಿಫಾರಸು ಮಾಡಲಾಗುತ್ತದೆ. ವಿಶ್ವಾಸಾರ್ಹವಲ್ಲದ ರೆಪೊಸಿಟರಿಗಳಲ್ಲಿ git am" ಆಜ್ಞೆಗಳು. ಕೋಡ್.

  • CVE-2023-22490 ದುರ್ಬಲತೆಯು ಕ್ಲೋನ್ ಮಾಡಿದ ರೆಪೊಸಿಟರಿಯ ವಿಷಯಗಳನ್ನು ನಿಯಂತ್ರಿಸುವ ಆಕ್ರಮಣಕಾರರಿಗೆ ಬಳಕೆದಾರರ ಸಿಸ್ಟಮ್‌ನಲ್ಲಿ ಸೂಕ್ಷ್ಮ ಡೇಟಾಗೆ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಲು ಅನುಮತಿಸುತ್ತದೆ. ಎರಡು ನ್ಯೂನತೆಗಳು ದುರ್ಬಲತೆಯ ಹೊರಹೊಮ್ಮುವಿಕೆಗೆ ಕೊಡುಗೆ ನೀಡುತ್ತವೆ:

    ಮೊದಲ ನ್ಯೂನತೆಯು ವಿಶೇಷವಾಗಿ ವಿನ್ಯಾಸಗೊಳಿಸಿದ ರೆಪೊಸಿಟರಿಯೊಂದಿಗೆ ಕೆಲಸ ಮಾಡುವಾಗ, ಬಾಹ್ಯ ವ್ಯವಸ್ಥೆಗಳೊಂದಿಗೆ ಸಂವಹನ ನಡೆಸುವ ಸಾರಿಗೆಯನ್ನು ಬಳಸುವಾಗಲೂ ಸ್ಥಳೀಯ ಕ್ಲೋನಿಂಗ್ ಆಪ್ಟಿಮೈಸೇಶನ್‌ಗಳ ಬಳಕೆಯನ್ನು ಸಾಧಿಸಲು ಅನುಮತಿಸುತ್ತದೆ.

    ಎರಡನೇ ನ್ಯೂನತೆಯು $GIT_DIR/objects ಡೈರೆಕ್ಟರಿಯ ಬದಲಿಗೆ ಸಾಂಕೇತಿಕ ಲಿಂಕ್ ಅನ್ನು ಇರಿಸಲು ಅನುಮತಿಸುತ್ತದೆ, ದುರ್ಬಲತೆಯ CVE-2022-39253 ಅನ್ನು ಹೋಲುತ್ತದೆ, $GIT_DIR/objects ಡೈರೆಕ್ಟರಿಯಲ್ಲಿ ಸಾಂಕೇತಿಕ ಲಿಂಕ್‌ಗಳ ನಿಯೋಜನೆಯನ್ನು ನಿರ್ಬಂಧಿಸಿದ ಪರಿಹಾರವು $GIT_DIR/objects ಡೈರೆಕ್ಟರಿಯು ಸಾಂಕೇತಿಕ ಲಿಂಕ್ ಆಗಿರಬಹುದು ಎಂಬ ಅಂಶವನ್ನು ಪರಿಶೀಲಿಸಿ.

    ಸ್ಥಳೀಯ ಕ್ಲೋನಿಂಗ್ ಮೋಡ್‌ನಲ್ಲಿ, ಸಿಮ್‌ಲಿಂಕ್‌ಗಳನ್ನು ಡಿಫರೆನ್ಸ್ ಮಾಡುವ ಮೂಲಕ git $GIT_DIR/ಆಬ್ಜೆಕ್ಟ್‌ಗಳನ್ನು ಟಾರ್ಗೆಟ್ ಡೈರೆಕ್ಟರಿಗೆ ವರ್ಗಾಯಿಸುತ್ತದೆ, ಇದು ನೇರವಾಗಿ ಉಲ್ಲೇಖಿಸಲಾದ ಫೈಲ್‌ಗಳನ್ನು ಗುರಿ ಡೈರೆಕ್ಟರಿಗೆ ನಕಲಿಸಲು ಕಾರಣವಾಗುತ್ತದೆ. ಸ್ಥಳೀಯವಲ್ಲದ ಸಾರಿಗೆಗಾಗಿ ಸ್ಥಳೀಯ ಕ್ಲೋನಿಂಗ್ ಆಪ್ಟಿಮೈಸೇಶನ್‌ಗಳನ್ನು ಬಳಸಲು ಬದಲಾಯಿಸುವುದು ಬಾಹ್ಯ ರೆಪೊಸಿಟರಿಗಳೊಂದಿಗೆ ಕೆಲಸ ಮಾಡುವಾಗ ದುರ್ಬಲತೆಗಳನ್ನು ಬಳಸಿಕೊಳ್ಳಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ (ಉದಾಹರಣೆಗೆ, "git clone -recurse-submodules" ಆಜ್ಞೆಯೊಂದಿಗೆ ಉಪ ಮಾಡ್ಯೂಲ್‌ಗಳನ್ನು ಪುನರಾವರ್ತಿತವಾಗಿ ಸೇರಿಸುವುದು ಸಬ್ ಮಾಡ್ಯೂಲ್ ಆಗಿ ಪ್ಯಾಕ್ ಮಾಡಲಾದ ದುರುದ್ದೇಶಪೂರಿತ ರೆಪೊಸಿಟರಿಯ ಕ್ಲೋನಿಂಗ್‌ಗೆ ಕಾರಣವಾಗಬಹುದು. ಇನ್ನೊಂದು ರೆಪೊಸಿಟರಿಯಲ್ಲಿ).

  • ದುರ್ಬಲತೆ CVE-2023-23946 ವಿಶೇಷವಾಗಿ ರಚಿಸಲಾದ ಇನ್‌ಪುಟ್ ಅನ್ನು "git apply" ಆಜ್ಞೆಗೆ ರವಾನಿಸುವ ಮೂಲಕ ಕಾರ್ಯನಿರ್ವಹಿಸುವ ಡೈರೆಕ್ಟರಿಯ ಹೊರಗಿನ ಫೈಲ್‌ಗಳ ವಿಷಯಗಳನ್ನು ತಿದ್ದಿ ಬರೆಯಲು ಅನುಮತಿಸುತ್ತದೆ. ಉದಾಹರಣೆಗೆ, "git apply" ನಲ್ಲಿ ಆಕ್ರಮಣಕಾರರು ಸಿದ್ಧಪಡಿಸಿದ ಪ್ಯಾಚ್‌ಗಳ ಪ್ರಕ್ರಿಯೆಯ ಸಮಯದಲ್ಲಿ ದಾಳಿಯನ್ನು ನಡೆಸಬಹುದು. ವರ್ಕಿಂಗ್ ಕಾಪಿಯ ಹೊರಗೆ ಫೈಲ್‌ಗಳನ್ನು ರಚಿಸದಂತೆ ಪ್ಯಾಚ್‌ಗಳನ್ನು ನಿರ್ಬಂಧಿಸಲು, ಸಿಮ್‌ಲಿಂಕ್‌ಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಫೈಲ್ ಅನ್ನು ಬರೆಯಲು ಪ್ರಯತ್ನಿಸುವ ಪ್ಯಾಚ್‌ಗಳ ಸಂಸ್ಕರಣೆಯನ್ನು "ಗಿಟ್ ಅನ್ವಯಿಸು" ನಿರ್ಬಂಧಿಸುತ್ತದೆ. ಆದರೆ ಮೊದಲ ಸ್ಥಾನದಲ್ಲಿ ಸಾಂಕೇತಿಕ ಲಿಂಕ್ ಅನ್ನು ರಚಿಸುವ ಮೂಲಕ ಈ ರಕ್ಷಣೆಯನ್ನು ಬೈಪಾಸ್ ಮಾಡಬಹುದು ಎಂದು ಅದು ತಿರುಗುತ್ತದೆ.

ಮೂಲ: opennet.ru

ಕಾಮೆಂಟ್ ಅನ್ನು ಸೇರಿಸಿ