ವಿತರಿಸಲಾದ ಮೂಲ ನಿಯಂತ್ರಣ ವ್ಯವಸ್ಥೆಯ Git 2.35.2, 2.30.3, 2.31.2, 2.32.1, 2.33.2 ಮತ್ತು 2.34.2 ಸರಿಪಡಿಸುವ ಬಿಡುಗಡೆಗಳನ್ನು ಪ್ರಕಟಿಸಲಾಗಿದೆ, ಇದರಲ್ಲಿ ಎರಡು ದೋಷಗಳನ್ನು ನಿವಾರಿಸಲಾಗಿದೆ:
- CVE-2022-24765 - ಹಂಚಿದ ಡೈರೆಕ್ಟರಿಗಳೊಂದಿಗೆ ಬಹು-ಬಳಕೆದಾರ ಸಿಸ್ಟಮ್ಗಳ ಮೇಲೆ ದಾಳಿಯನ್ನು ಗುರುತಿಸಲಾಗಿದೆ ಅದು ಮತ್ತೊಂದು ಬಳಕೆದಾರರಿಂದ ವ್ಯಾಖ್ಯಾನಿಸಲಾದ ಆಜ್ಞೆಗಳ ಕಾರ್ಯಗತಗೊಳಿಸುವಿಕೆಗೆ ಕಾರಣವಾಗಬಹುದು. ಆಕ್ರಮಣಕಾರರು ಇತರ ಬಳಕೆದಾರರೊಂದಿಗೆ ಛೇದಿಸುವ ಸ್ಥಳಗಳಲ್ಲಿ ".git" ಡೈರೆಕ್ಟರಿಯನ್ನು ರಚಿಸಬಹುದು (ಉದಾಹರಣೆಗೆ, ಹಂಚಿದ ಡೈರೆಕ್ಟರಿಗಳು ಅಥವಾ ತಾತ್ಕಾಲಿಕ ಫೈಲ್ಗಳೊಂದಿಗೆ ಡೈರೆಕ್ಟರಿಗಳಲ್ಲಿ) ಮತ್ತು ಹ್ಯಾಂಡ್ಲರ್ಗಳ ಕಾನ್ಫಿಗರೇಶನ್ನೊಂದಿಗೆ ಅದರಲ್ಲಿ ".git/config" ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್ ಅನ್ನು ಇರಿಸಬಹುದು. ಕೆಲವು ಕಾರ್ಯಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಿದಾಗ ಕರೆಯಲಾಗುತ್ತದೆ git ಆಜ್ಞೆಗಳು (ಉದಾಹರಣೆಗೆ, ನೀವು ಕೋಡ್ ಎಕ್ಸಿಕ್ಯೂಶನ್ ಅನ್ನು ಸಂಘಟಿಸಲು core.fsmonitor ನಿಯತಾಂಕವನ್ನು ಬಳಸಬಹುದು).
ಆಕ್ರಮಣಕಾರರಿಂದ ರಚಿಸಲಾದ ".git" ಉಪ ಡೈರೆಕ್ಟರಿಗಿಂತ ಹೆಚ್ಚಿನ ಡೈರೆಕ್ಟರಿಯಲ್ಲಿ ಬಳಕೆದಾರರು git ಅನ್ನು ಪ್ರವೇಶಿಸಿದರೆ ".git/config" ನಲ್ಲಿ ವ್ಯಾಖ್ಯಾನಿಸಲಾದ ಹ್ಯಾಂಡ್ಲರ್ಗಳನ್ನು ಬೇರೆ ಬಳಕೆದಾರ ಎಂದು ಕರೆಯಲಾಗುತ್ತದೆ. ಕರೆಯನ್ನು ಒಳಗೊಂಡಂತೆ ಪರೋಕ್ಷವಾಗಿ ಮಾಡಬಹುದು, ಉದಾಹರಣೆಗೆ, VS ಕೋಡ್ ಮತ್ತು ಆಟಮ್ನಂತಹ git ಬೆಂಬಲದೊಂದಿಗೆ ಕೋಡ್ ಸಂಪಾದಕಗಳನ್ನು ಬಳಸುವಾಗ ಅಥವಾ "git ಸ್ಥಿತಿ" ಯನ್ನು ಪ್ರಚೋದಿಸುವ ಆಡ್-ಆನ್ಗಳನ್ನು ಬಳಸುವಾಗ (ಉದಾಹರಣೆಗೆ, Git Bash ಅಥವಾ posh-git). Git 2.35.2 ಆವೃತ್ತಿಯಲ್ಲಿ, ಆಧಾರವಾಗಿರುವ ಡೈರೆಕ್ಟರಿಗಳಲ್ಲಿ ".git" ಗಾಗಿ ಹುಡುಕುವ ತರ್ಕದಲ್ಲಿನ ಬದಲಾವಣೆಗಳ ಮೂಲಕ ದುರ್ಬಲತೆಯನ್ನು ನಿರ್ಬಂಧಿಸಲಾಗಿದೆ (".git" ಡೈರೆಕ್ಟರಿಯು ಮತ್ತೊಂದು ಬಳಕೆದಾರರಿಗೆ ಸೇರಿದ್ದರೆ ಅದನ್ನು ಈಗ ನಿರ್ಲಕ್ಷಿಸಲಾಗುತ್ತದೆ).
- CVE-2022-24767 ಎನ್ನುವುದು ವಿಂಡೋಸ್-ನಿರ್ದಿಷ್ಟ ದುರ್ಬಲತೆಯಾಗಿದ್ದು ಅದು ವಿಂಡೋಸ್ಗಾಗಿ Git ನ ಅಸ್ಥಾಪನೆ ಕಾರ್ಯಾಚರಣೆಯನ್ನು ಚಾಲನೆ ಮಾಡುವಾಗ ಸಿಸ್ಟಮ್ ಸವಲತ್ತುಗಳೊಂದಿಗೆ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಅನುಮತಿಸುತ್ತದೆ. ಸಿಸ್ಟಮ್ ಬಳಕೆದಾರರಿಂದ ಬರೆಯಬಹುದಾದ ತಾತ್ಕಾಲಿಕ ಡೈರೆಕ್ಟರಿಯಲ್ಲಿ ಅಸ್ಥಾಪಿಸುವಿಕೆಯಿಂದ ಸಮಸ್ಯೆ ಉಂಟಾಗುತ್ತದೆ. ತಾತ್ಕಾಲಿಕ ಡೈರೆಕ್ಟರಿಯಲ್ಲಿ ಬದಲಿ DLL ಗಳನ್ನು ಇರಿಸುವ ಮೂಲಕ ದಾಳಿಯನ್ನು ನಡೆಸಲಾಗುತ್ತದೆ, ಅಸ್ಥಾಪನೆಯು ಸಿಸ್ಟಮ್ ಹಕ್ಕುಗಳೊಂದಿಗೆ ರನ್ ಮಾಡಿದಾಗ ಲೋಡ್ ಆಗುತ್ತದೆ.
ಮೂಲ: opennet.ru