Weşanên rastkirî yên Git 2.40.1, 2.39.3, 2.38.5, 2.37.7, 2.36.6, 2.35.8, 2.34.8, 2.33.8, 2.32.7, 2.31.8 û 2.30.9 hatine weşandin. , ku pênc qelsî rast kir. Hûn dikarin serbestberdana nûvekirina pakêtê di belavkirinan de li ser rûpelên Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD bişopînin. Weke çareyek ji bo parastina li hember lawaziyan, tê pêşniyar kirin ku dema ku bi paçên derveyî yên neceribandinî re dixebitin ji xebitandina fermana "git application --reject" dûr bisekinin, û berî ku "git submodule deinit", "git" bixebitin naveroka $GIT_DIR/config kontrol bikin. config --rename-section" û "git config --remove-section" dema ku bi depoyên nebawer re mijûl dibin.
Zehfbûna CVE-2023-29007 destûrê dide guheztina mîhengan di pela veavakirinê ya $GIT_DIR/config de, ku dikare ji bo pêkanîna kodê di pergalê de bi destnîşankirina rêyên pelên îcrakar di rêwerzên core.pager, core.editor û core.sshCommand de were bikar anîn. Zehfbûn ji ber xeletiyek mentiqî pêk tê, ji ber vê yekê dema ku navek ji pelek vesazkirinê tê veguheztin an jêbirin, nirxên mîhengê yên pir dirêj wekî destpêka beşa nû têne hesibandin. Di pratîkê de, veguheztina nirxên îstîsmarê dikare bi destnîşankirina URL-yên binmodûl ên pir dirêj ên ku di dema destpêkirinê de li pelê $GIT_DIR/config têne hilanîn were bidestxistin. Dema ku hewl bidin ku wan bi navgîniya "git submodule deinit" jêbirin, van URLan dikarin wekî mîhengên nû werin şîrove kirin.
Zehfbûna CVE-2023-25652 destûrê dide ku naveroka pelên li derveyî dara xebatê were nivîsandin dema ku paçên taybetî hatine çêkirin bi fermana "git application --reject" têne hilberandin. Ger hûn hewl bidin ku bi fermana "git application" pêçekek xerab ku hewl dide bi riya girêdanek sembolîk li pelek binivîsîne bicîh bikin, dê operasyon were red kirin. Di Git 2.39.1-ê de, parastina manîpulasyonê ya symlink-ê hate dirêj kirin da ku pêçikên ku girêdanên sembolan diafirînin û hewl didin ku bi wan re binivîsin asteng bikin. Esasê qelsiya ku li ber çavan tê girtin ev e ku Git hesab nekiriye ku bikarhêner dikare fermana "git application -reject" bicîh bîne da ku beşên redkirî yên patchê wekî pelên bi dirêjkirina ".rej" binivîse, û êrîşkar dikare Vê derfetê bikar bînin ku naverokê li pelrêçek keyfî binivîsin, heya ku destûrên heyî destûrê didin.
Wekî din, sê qelsiyên ku tenê li ser platforma Windows-ê xuya dibin hatine rast kirin: CVE-2023-29012 (li pelrêça xebatê ya depoyê dema ku emrê "Git CMD" bicîh tîne, li doskey.exe-ya îcrakar bigerin, ku destûrê dide we ku hûn rêxistin bikin. cîbecîkirina koda we li ser pergala bikarhêner), CVE-2023 -25815 (herikîna tamponê dema ku pelên herêmîkirina xwerû di gettext de hildiweşîne) û CVE-2023-29011 (îmkana cîgirkirina pelê connect.exe dema ku bi SOCKS5 re dixebite).
Source: opennet.ru