ProHoster > Π‘Π»ΠΎΠ³ > interrete nuntium > Vulnerabilitates in Git quae ducunt ad notitias lacus et overwriting

Vulnerabilitates in Git quae ducunt ad notitias lacus et overwriting

Correctorium emissiones fonte distributo ditionis systematis Git 2.38.4, 2.37.6, 2.36.5, 2.35.7, 2.34.7, 2.33.7, 2.32.6, 2.31.7 et 2.30.8 editae sunt, quae praefigunt. duas vulnerabilitates, optimizationes afficientes pro loci exquisitis et "git applicare" mandatum. Dimissionem indagare potes in distributionibus paginarum Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD. Si renovationem instituere non potest, commendatur ut operarius laborando ad operandum "git clone" operandum cum "-recurse-submodulibus" optione in repositoria non credita, et vitare usura "git applicare" et " git sum "imperat in untrusted repositoria. Code.

  • CVE-2023-22490 vulnerabilitas permittit impugnatorem qui contenta repositorii moderatur ut aditus ad notitias sensitivas in usoris rationi accedat. Duo vitia conducunt ad vulnerabilitatem cessum;

    Primum vitium permittit, cum repositorio speciali designato laborat, usum optimizationum localium consequi, etiam cum utens onerariis quae cum systematibus externis correspondent.

    Alterum vitium permittit collocationem nexus symbolici loco gIT_DIR/obiectorum directorium, vulnerabilitati CVE-2022-39253 similis, cuius figmentum obstitit quo inserendum nexus symbolici in $GIT_DIR/obiectorum directorium collocationem, non tamen reprehendo quod objecta directorium $GIT_DIR ipsum vinculum symbolicum esse potest.

    In loci exquisitis modo, git transfert $GIT_DIR/obiecta in directorium scopum per symlinka dereferendo, quae facit tabellas directe referenced transcribendas ad scopo presul. Commutatio utendi optimizationes locales pro non-locis onerariis permittit abusionem vulnerabilium cum repositoriis externis laborantibus (exempli gratia, recursively comprehendo submodules cum mandato "clone -recurse-submodules", ducere potest ad exquisita repositorii maligni quasi submodule packaged in alio reposito).

  • Vulnerabilitas CVE-2023-23946 permittit documentorum contenta extra presul ad operandum scribenda transeundo speciali modo initus ad "git applicare" mandatum. Exempli gratia, impetus exerceri potest in processu inaequaliter praeparato ab oppugnatore in "git applicare". Ut inaequaliter a creando lima extra exemplum operantis, "git applicare" cuneos processus inaequalis qui conor scribere fasciculi symlinks utentes. Sed evenit ut hoc praesidium praeteriri possit symbolicum nexum creando imprimis.

Source: opennet.ru