ವಿತರಿಸಲಾದ ಮೂಲ ನಿಯಂತ್ರಣ ವ್ಯವಸ್ಥೆಯ Git 2.35.2, 2.30.3, 2.31.2, 2.32.1, 2.33.2 ಮತ್ತು 2.34.2 ಸರಿಪಡಿಸುವ ಬಿಡುಗಡೆಗಳನ್ನು ಪ್ರಕಟಿಸಲಾಗಿದೆ, ಇದರಲ್ಲಿ ಎರಡು ದೋಷಗಳನ್ನು ನಿವಾರಿಸಲಾಗಿದೆ:
- CVE-2022-24765 - ಹಂಚಿದ ಡೈರೆಕ್ಟರಿಗಳೊಂದಿಗೆ ಬಹು-ಬಳಕೆದಾರ ಸಿಸ್ಟಮ್ಗಳ ಮೇಲೆ ದಾಳಿಯನ್ನು ಗುರುತಿಸಲಾಗಿದೆ ಅದು ಮತ್ತೊಂದು ಬಳಕೆದಾರರಿಂದ ವ್ಯಾಖ್ಯಾನಿಸಲಾದ ಆಜ್ಞೆಗಳ ಕಾರ್ಯಗತಗೊಳಿಸುವಿಕೆಗೆ ಕಾರಣವಾಗಬಹುದು. ಆಕ್ರಮಣಕಾರರು ಇತರ ಬಳಕೆದಾರರೊಂದಿಗೆ ಛೇದಿಸುವ ಸ್ಥಳಗಳಲ್ಲಿ ".git" ಡೈರೆಕ್ಟರಿಯನ್ನು ರಚಿಸಬಹುದು (ಉದಾಹರಣೆಗೆ, ಹಂಚಿದ ಡೈರೆಕ್ಟರಿಗಳು ಅಥವಾ ತಾತ್ಕಾಲಿಕ ಫೈಲ್ಗಳೊಂದಿಗೆ ಡೈರೆಕ್ಟರಿಗಳಲ್ಲಿ) ಮತ್ತು ಹ್ಯಾಂಡ್ಲರ್ಗಳ ಕಾನ್ಫಿಗರೇಶನ್ನೊಂದಿಗೆ ಅದರಲ್ಲಿ ".git/config" ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್ ಅನ್ನು ಇರಿಸಬಹುದು. ಕೆಲವು ಕಾರ್ಯಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಿದಾಗ ಕರೆಯಲಾಗುತ್ತದೆ git ಆಜ್ಞೆಗಳು (ಉದಾಹರಣೆಗೆ, ನೀವು ಕೋಡ್ ಎಕ್ಸಿಕ್ಯೂಶನ್ ಅನ್ನು ಸಂಘಟಿಸಲು core.fsmonitor ನಿಯತಾಂಕವನ್ನು ಬಳಸಬಹುದು).
ಆಕ್ರಮಣಕಾರರಿಂದ ರಚಿಸಲಾದ ".git" ಉಪ ಡೈರೆಕ್ಟರಿಗಿಂತ ಹೆಚ್ಚಿನ ಡೈರೆಕ್ಟರಿಯಲ್ಲಿ ಬಳಕೆದಾರರು git ಅನ್ನು ಪ್ರವೇಶಿಸಿದರೆ ".git/config" ನಲ್ಲಿ ವ್ಯಾಖ್ಯಾನಿಸಲಾದ ಹ್ಯಾಂಡ್ಲರ್ಗಳನ್ನು ಬೇರೆ ಬಳಕೆದಾರ ಎಂದು ಕರೆಯಲಾಗುತ್ತದೆ. ಕರೆಯನ್ನು ಒಳಗೊಂಡಂತೆ ಪರೋಕ್ಷವಾಗಿ ಮಾಡಬಹುದು, ಉದಾಹರಣೆಗೆ, VS ಕೋಡ್ ಮತ್ತು ಆಟಮ್ನಂತಹ git ಬೆಂಬಲದೊಂದಿಗೆ ಕೋಡ್ ಸಂಪಾದಕಗಳನ್ನು ಬಳಸುವಾಗ ಅಥವಾ "git ಸ್ಥಿತಿ" ಯನ್ನು ಪ್ರಚೋದಿಸುವ ಆಡ್-ಆನ್ಗಳನ್ನು ಬಳಸುವಾಗ (ಉದಾಹರಣೆಗೆ, Git Bash ಅಥವಾ posh-git). Git 2.35.2 ಆವೃತ್ತಿಯಲ್ಲಿ, ಆಧಾರವಾಗಿರುವ ಡೈರೆಕ್ಟರಿಗಳಲ್ಲಿ ".git" ಗಾಗಿ ಹುಡುಕುವ ತರ್ಕದಲ್ಲಿನ ಬದಲಾವಣೆಗಳ ಮೂಲಕ ದುರ್ಬಲತೆಯನ್ನು ನಿರ್ಬಂಧಿಸಲಾಗಿದೆ (".git" ಡೈರೆಕ್ಟರಿಯು ಮತ್ತೊಂದು ಬಳಕೆದಾರರಿಗೆ ಸೇರಿದ್ದರೆ ಅದನ್ನು ಈಗ ನಿರ್ಲಕ್ಷಿಸಲಾಗುತ್ತದೆ).
- CVE-2022-24767 - ಪ್ಲಾಟ್ಫಾರ್ಮ್ ನಿರ್ದಿಷ್ಟ Windows Git ನ ಅಸ್ಥಾಪನೆ ಕಾರ್ಯಾಚರಣೆಯನ್ನು ಚಲಾಯಿಸುವಾಗ SYSTEM ಸವಲತ್ತುಗಳೊಂದಿಗೆ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಅನುಮತಿಸುವ ದುರ್ಬಲತೆ. Windowsಸಿಸ್ಟಮ್ ಬಳಕೆದಾರರು ಬರೆಯಬಹುದಾದ ತಾತ್ಕಾಲಿಕ ಡೈರೆಕ್ಟರಿಯಲ್ಲಿ ಅನ್ಇನ್ಸ್ಟಾಲರ್ ಚಾಲನೆಯಾಗುವುದರಿಂದ ಈ ಸಮಸ್ಯೆ ಉಂಟಾಗುತ್ತದೆ. ತಾತ್ಕಾಲಿಕ ಡೈರೆಕ್ಟರಿಯಲ್ಲಿ ಬದಲಿ DLL ಗಳನ್ನು ಇರಿಸುವ ಮೂಲಕ ದಾಳಿಯನ್ನು ನಡೆಸಲಾಗುತ್ತದೆ, ಇದು ಅಸ್ಥಾಪಕವನ್ನು SYSTEM ಸವಲತ್ತುಗಳೊಂದಿಗೆ ಚಲಾಯಿಸಿದಾಗ ಲೋಡ್ ಆಗುತ್ತದೆ.
ಮೂಲ: opennet.ru
