๋ถ์ฐ ์์ค ์ ์ด ์์คํ Git 2.38.4, 2.37.6, 2.36.5, 2.35.7, 2.34.7, 2.33.7, 2.32.6, 2.31.7 ๋ฐ 2.30.8์ ์์ ๋ฆด๋ฆฌ์ค๊ฐ ๊ฒ์๋์์ต๋๋ค. ๋ก์ปฌ ๋ณต์ ๋ฐ "git apply" ๋ช ๋ น ์ต์ ํ์ ์ํฅ์ ๋ฏธ์น๋ ๋ ๊ฐ์ง ์ทจ์ฝ์ . Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD ํ์ด์ง์ ๋ฐฐํฌํ์์ ํจํค์ง ์ ๋ฐ์ดํธ ๋ฆด๋ฆฌ์ค๋ฅผ ์ถ์ ํ ์ ์์ต๋๋ค. ์ ๋ฐ์ดํธ๋ฅผ ์ค์นํ ์ ์๋ ๊ฒฝ์ฐ ์ ๋ขฐํ ์ ์๋ ๋ฆฌํฌ์งํ ๋ฆฌ์์ "--recurse-submodules" ์ต์ ์ ์ฌ์ฉํ์ฌ "git clone" ์์ ์ ์ํํ์ง ์๊ณ "git apply" ๋ฐ "git apply"๋ฅผ ์ฌ์ฉํ์ง ์๋ ๊ฒ์ด ํด๊ฒฐ ๋ฐฉ๋ฒ์ผ๋ก ๊ถ์ฅ๋ฉ๋๋ค. ์ ๋ขฐํ ์ ์๋ ์ ์ฅ์์ ๋ํ git am" ๋ช ๋ น. ์ฝ๋.
- CVE-2023-22490 ์ทจ์ฝ์ ์ผ๋ก ์ธํด ๋ณต์ ๋ ์ ์ฅ์์ ์ฝํ
์ธ ๋ฅผ ์ ์ดํ๋ โโ๊ณต๊ฒฉ์๊ฐ ์ฌ์ฉ์ ์์คํ
์ ๋ฏผ๊ฐํ ๋ฐ์ดํฐ์ ์ก์ธ์คํ ์ ์์ต๋๋ค. ๋ ๊ฐ์ง ๊ฒฐํจ์ด ์ทจ์ฝ์ฑ์ ์ถํ์ ๊ธฐ์ฌํฉ๋๋ค.
์ฒซ ๋ฒ์งธ ๊ฒฐํจ์ผ๋ก ์ธํด ํน๋ณํ ์ค๊ณ๋ ์ ์ฅ์๋ก ์์ ํ ๋ ์ธ๋ถ ์์คํ ๊ณผ ์ํธ ์์ฉํ๋ ์ ์ก์ ์ฌ์ฉํ ๋์๋ ๋ก์ปฌ ๋ณต์ ์ต์ ํ๋ฅผ ์ฌ์ฉํ ์ ์์ต๋๋ค.
๋ ๋ฒ์งธ ๊ฒฐํจ์ $GIT_DIR/objects ๋๋ ํฐ๋ฆฌ ๋์ ๊ธฐํธ ๋งํฌ ๋ฐฐ์น๋ฅผ ํ์ฉํฉ๋๋ค. ์ด๋ ์ทจ์ฝ์ CVE-2022-39253๊ณผ ์ ์ฌํฉ๋๋ค. ์ด ์์ ์ฌํญ์ $GIT_DIR/objects ๋๋ ํฐ๋ฆฌ์ ๊ธฐํธ ๋งํฌ ๋ฐฐ์น๋ฅผ ์ฐจ๋จํ์ง๋ง ๊ทธ๋ ์ง ์์์ต๋๋ค. $GIT_DIR/objects ๋๋ ํ ๋ฆฌ ์์ฒด๊ฐ ์ฌ๋ณผ๋ฆญ ๋งํฌ์ผ ์ ์๋ค๋ ์ฌ์ค์ ํ์ธํ์ธ์.
๋ก์ปฌ ๋ณต์ ๋ชจ๋์์ git์ ์ฌ๋ณผ๋ฆญ ๋งํฌ๋ฅผ ์ญ์ฐธ์กฐํ์ฌ $GIT_DIR/objects๋ฅผ ๋์ ๋๋ ํฐ๋ฆฌ๋ก ์ ์กํฉ๋๋ค. ๊ทธ๋ฌ๋ฉด ์ง์ ์ฐธ์กฐ๋ ํ์ผ์ด ๋์ ๋๋ ํฐ๋ฆฌ์ ๋ณต์ฌ๋ฉ๋๋ค. ๋น๋ก์ปฌ ์ ์ก์ ๋ก์ปฌ ๋ณต์ ์ต์ ํ๋ฅผ ์ฌ์ฉํ๋๋ก ์ ํํ๋ฉด ์ธ๋ถ ์ ์ฅ์๋ก ์์ ํ ๋ ์ทจ์ฝ์ ์ ์ ์ฉํ ์ ์์ต๋๋ค. ์๋ฅผ ๋ค์ด "git clone โrecurse-submodules" ๋ช ๋ น์ ์ฌ์ฉํ์ฌ ํ์ ๋ชจ๋์ ๋ฐ๋ณต์ ์ผ๋ก ํฌํจํ๋ฉด ํ์ ๋ชจ๋๋ก ํจํค์ง๋ ์ ์ฑ ์ ์ฅ์๊ฐ ๋ณต์ ๋ ์ ์์ต๋๋ค. ๋ค๋ฅธ ์ ์ฅ์์ ์์).
- ์ทจ์ฝ์ CVE-2023-23946์ผ๋ก ์ธํด ํน๋ณํ ์ ์๋ ์ ๋ ฅ์ "git apply" ๋ช ๋ น์ ์ ๋ฌํ์ฌ ์์ ๋๋ ํฐ๋ฆฌ ์ธ๋ถ์ ํ์ผ ์ฝํ ์ธ ๋ฅผ ๋ฎ์ด์ธ ์ ์์ต๋๋ค. ์๋ฅผ ๋ค์ด, ๊ณต๊ฒฉ์๊ฐ โgit Applyโ์์ ์ค๋นํ ํจ์น๋ฅผ ์ฒ๋ฆฌํ๋ ์ค์ ๊ณต๊ฒฉ์ด ์ํ๋ ์ ์์ต๋๋ค. ํจ์น๊ฐ ์์ ๋ณต์ฌ๋ณธ ์ธ๋ถ์์ ํ์ผ์ ์์ฑํ์ง ๋ชปํ๋๋ก ์ฐจ๋จํ๊ธฐ ์ํด "git apply"๋ ์ฌ๋ณผ๋ฆญ ๋งํฌ๋ฅผ ์ฌ์ฉํ์ฌ ํ์ผ์ ์ฐ๋ ค๊ณ ์๋ํ๋ ํจ์น ์ฒ๋ฆฌ๋ฅผ ์ฐจ๋จํฉ๋๋ค. ๊ทธ๋ฌ๋ ์ ์ด์ ์ฌ๋ณผ๋ฆญ ๋งํฌ๋ฅผ ์์ฑํจ์ผ๋ก์จ ์ด ๋ณดํธ๋ฅผ ์ฐํํ ์ ์๋ค๋ ๊ฒ์ด ๋ฐํ์ก์ต๋๋ค.
์ถ์ฒ : opennet.ru