Navoaka ny famoahana fanitsiana ny rafitra fanaraha-maso loharano voazara Git 2.38.1, 2.30.6, 2.31.5, 2.32.4, 2.33.5, 2.34.5, 2.35.5, 2.36.3 ary 2.37.4, izay manamboatra vulnerabilities roa , izay miseho rehefa mampiasa ny baiko "git clone" ao amin'ny mode "-recurse-submodules" miaraka amin'ny tahiry tsy voamarika ary rehefa mampiasa ny "git shell" mode interactive. Azonao atao ny manara-maso ny famoahana ny fanavaozana fonosana amin'ny fizarana amin'ny pejin'ny Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD.
- CVE-2022-39253 - Ny vulnerability dia ahafahan'ny mpanafika manara-maso ny atiny amin'ny tahiry klΓ΄nina mahazo fidirana amin'ny angon-drakitra tsiambaratelo ao amin'ny rafitry ny mpampiasa amin'ny alΓ lan'ny fametrahana rohy an'ohatra amin'ny rakitra mahaliana ao amin'ny lahatahiry $GIT_DIR/objects an'ny tahiry cloned. Ny olana dia tsy miseho afa-tsy rehefa manao cloning eo an-toerana (ao amin'ny "--local" mode, ampiasaina rehefa ny kendrena sy ny loharanon'ny angona ny clone dia ao amin'ny fizarazarana iray ihany) na rehefa clone ny ratsy fitehirizana voafono ho submodule ao amin'ny tahiry hafa (ohatra, rehefa miverimberina mampiditra submodules miaraka amin'ny baiko "git clone" --recurse-submodules").
Ny vulnerability dia vokatry ny hoe ao amin'ny "--local" mode cloning, git mamindra ny votoatin'ny $GIT_DIR/objects amin'ny lahatahiry kendrena (mamorona rohy mafy na dika mitovy amin'ny rakitra), manao dereference amin'ny rohy an'ohatra (izany hoe, as vokatr'izany dia adika any amin'ny lahatahiry kendrena ny rohy tsy an'ohatra, fa mivantana amin'ireo rakitra izay tondroin'ireo rohy). Mba hanakanana ny vulnerability, ny famoahana vaovao git dia mandrara ny fametahana ny tahiry amin'ny fomba "--local" izay misy rohy an'ohatra ao amin'ny lahatahiry $GIT_DIR/objects. Fanampin'izany, niova ho "mpampiasa" ny sandan'ny default amin'ny parameter protocol.file.allow, izay mahatonga ny fampandehanana kloning amin'ny fampiasana ny rakitra: // protocol.
- CVE-2022-39260 - Mihoatra ny integer amin'ny fiasa split_cmdline() ampiasaina amin'ny baiko "git shell". Ny olana dia azo ampiasaina hanafika ireo mpampiasa izay manana "git shell" ho toy ny akora fidirana ary manana fomba fiasa interactive (namorona rakitra $HOME/git-shell-commands). Ny fanararaotana ny vulnerability dia mety hitarika amin'ny fanatanterahana ny fehezan-dalΓ na tsy misy dikany amin'ny rafitra rehefa mandefa baiko natao manokana lehibe kokoa noho ny 2 GB ny habeny.
Source: opennet.ru