ProHoster > Π‘Π»ΠΎΠ³ > interrete nuntium > Vulnerabilitates in Git cum submodulibus exquisitis et testa git utens

Vulnerabilitates in Git cum submodulibus exquisitis et testa git utens

Correctorium emissiones fonte distributo ditionis systematis Git 2.38.1, 2.30.6, 2.31.5, 2.32.4, 2.33.5, 2.34.5, 2.35.5, 2.36.3 et 2.37.4 editae sunt, quae praefigunt. duo vulnerabilitates, quae apparent cum per "git clone" in imperio "-recurse-submodules" modum cum repositoriis immoderatis et cum "git putamen" utens, modus interactivus. Dimissionem indagare potes in distributionibus paginarum Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD.

  • CVE-2022-39253 - vulnerabilitas permittit impugnatorem qui contenta repositorii moderatur ut aditus ad secretiores notitias in usoris ratio ponat, ponens symbolicas nexus ad usuris in $GIT_DIR/obiectorum directorium repositorii cloned. Problema tantum apparet cum pertractatio localis (in modo "-locali", quando scopus et fons notitiae clone in eadem partitione sunt, vel cum repositorium malitiosum in aliud repositum (exem. gr. cum recursively comprehendo submodules cum imperio "git clone" --recurse-submodules").

    vulnerabilitas causatur ex eo quod in modum strictionis "-locali", git contenta obiecti $GIT_DIR/ad scopum directorium (creando duros nexus vel exemplaria imaginum), dereferentiam nexuum symbolicorum (i.e., faciendo) consequenter, nexus non symbolici transcribuntur ad directorium scopum, sed directe tabellas ad quas nexus designant). Ad vulnerabilitatem claudendam, novae emissiones git prohibent repositorium in "--locis" modum qui symbolicos nexus in $GIT_DIR/obiectis presul continent. Accedit, valor default protocol.file.allow parameter mutatus est ad "usorem", qui operationes exquisitas facit utens tabella // protocollum tutum.

  • CVE-2022-39260 - Integer inundatio in split_cmdline() functionis quae in "git cortice" adhibita est. Quaestionem adhiberi potest ad oppugnandos utentes qui "testudinem git" pro login uteri habent et modum interactivum efficiunt (a $ HOME/Git-concha imperata fasciculi creata sunt). Abusio vulnerabilitas ducere potest ad exsecutionem Codicis arbitrarii in systemate, cum mandatum speciale designatum mittens maior quam 2 GB in magnitudine.

Source: opennet.ru