Navoaka ny famoahana fanitsiana ny Git 2.40.1, 2.39.3, 2.38.5, 2.37.7, 2.36.6, 2.35.8, 2.34.8, 2.33.8, 2.32.7, 2.31.8 ary 2.30.9 , izay namaha ny vulnerability dimy. Azonao atao ny manaraka ny famoahana ny fanavaozana fonosana amin'ny fizarana amin'ny Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD pejy. Ho vahaolana hiarovana amin'ny vulnerabilities dia asaina misoroka ny baiko "git apply --reject" rehefa miasa amin'ny paty ivelany tsy mbola voasedra, ary jereo ny votoatin'ny $ GIT_DIR/config alohan'ny hampandehanana ny "git submodule deinit", "git config --rename-section" ary " git config --remove-section" rehefa mifandray amin'ny tahiry tsy azo itokisana.
Ny Vulnerability CVE-2023-29007 dia mamela ny fanoloana ny fikandrana ao amin'ny $GIT_DIR/config fisie fisie, izay azo ampiasaina amin'ny fanatanterahana ny kaody ao amin'ny rafitra amin'ny alalan'ny famaritana ny lalana mankany amin'ny rakitra azo tanterahana ao amin'ny core.pager, core.editor ary core.sshCommand Directives. Ny vulnerability dia vokatry ny hadisoana lojika izay mahatonga ny soatoavina fanamafisam-peo lava be dia azo raisina ho toy ny fiandohan'ny fizarana vaovao rehefa manonona anarana na mamafa fizarana iray amin'ny rakitra fanamafisana. Amin'ny fampiharana, ny fanoloana ny soatoavina hitrandraka dia azo atao amin'ny famaritana URL submodule lava be izay voatahiry ao amin'ny rakitra $GIT_DIR/config mandritra ny fanombohana. Ireo URL ireo dia azo adika ho fanovana vaovao rehefa manandrana manala azy ireo amin'ny alΓ lan'ny "git submodule deinit".
Vulnerability CVE-2023-25652 dia ahafahan'ny overwriting ny votoatin'ny rakitra ivelan'ny hazo miasa rehefa karakarain'ny baiko "git apply --reject" ny patch namboarina manokana. Raha manandrana manatanteraka patch maloto ianao miaraka amin'ny baiko "git apply" izay manandrana manoratra amin'ny rakitra amin'ny alΓ lan'ny rohy an'ohatra, dia ho lavina ny fandidiana. Ao amin'ny Git 2.39.1, ny fiarovana ny fanodikodinana symlink dia nitarina mba hanakanana ireo patch izay mamorona symlinks ary manandrana manoratra amin'ny alalan'izy ireo. Ny fototry ny vulnerability dinihina dia ny Git dia tsy nihevitra fa ny mpampiasa dia afaka manatanteraka ny baiko "git apply -reject" hanoratana ireo ampahany nolavina amin'ny patch ho rakitra miaraka amin'ny fanitarana ".rej", ary ny mpanafika dia afaka. Ampiasao ity fahafahana ity hanoratana ny atiny amin'ny lahatahiry tsy misy dikany, raha mbola mamela azy io ny fahazoan-dΓ lana ankehitriny.
Ho fanampin'izay, vulnerabilities telo izay hita ao amin'ny sehatra Windows ihany no raikitra: CVE-2023-29012 (mitady ny doskey.exe azo tanterahana ao amin'ny lahatahiry miasa amin'ny tahiry rehefa manatanteraka ny baiko "Git CMD", izay ahafahanao mandamina. ny fanatanterahana ny kaody anao amin'ny rafitry ny mpampiasa), CVE-2023 -25815 (mihoatra ny buffer mandritra ny fanodinana ny rakitra localization mahazatra amin'ny gettext) ary CVE-2023-29011 (fahaizana manolo ny rakitra connect.exe rehefa miasa amin'ny SOCKS5).
Source: opennet.ru