ProHoster > Блог > rongo ipurangi > Nga whakaraeraetanga i roto i te Git i te wa e kati ana nga kōwaeroto me te whakamahi i te anga git

Nga whakaraeraetanga i roto i te Git i te wa e kati ana nga kōwaeroto me te whakamahi i te anga git

Ko nga whakaputanga whakatika o te punaha whakahaere puna tohatoha Git 2.38.1, 2.30.6, 2.31.5, 2.32.4, 2.33.5, 2.34.5, 2.35.5, 2.36.3 me 2.37.4 kua whakaputaina, e whakatika ana e rua nga whakaraeraetanga, ka puta mai i te wa e whakamahi ana i te whakahau "git clone" i roto i te aratau "—recurse-submodules" me nga putunga kaore i tirohia me te whakamahi i te aratau tauwhitiwhiti "git shell". Ka taea e koe te whai i te tukunga o nga whakahōutanga kete i roto i nga tohatoha i nga wharangi o Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD.

  • CVE-2022-39253 - Ko te whakaraeraetanga ka taea e te kaitukino te whakahaere i nga ihirangi o te putunga kua katihia kia uru atu ki nga raraunga muna i runga i te punaha a te kaiwhakamahi ma te tuku hononga tohu ki nga konae whai paanga ki te raarangi $GIT_DIR/mea o te putunga kua kati. Ka puta noa te raru i te wa e kati ana i te rohe (i roto i te aratau "--local", ka whakamahia i te wa e noho ana te whaainga me nga raraunga puna o te katote i roto i te wehewehenga kotahi) i te wa e kati ana ranei i tetahi putunga kino kua takaihia hei waahanga iti ki tetahi atu putunga (hei tauira, ina hoki whakamuri te whakauru i nga submodules me te "git clone" whakahau --recurse-submodules").

    Ko te whakaraeraetanga na te mea i roto i te "--rohe" aratau cloning, ka whakawhitia e git nga ihirangi o $GIT_DIR/mea ki te whaiaronga whainga (te hanga hononga pakeke, kape ranei o nga konae), te mahi i te whakakore i nga hononga tohu (arā, hei ka mutu, ka kapehia nga hononga kore-tohu ki te whaiaronga whaainga, engari ko nga konae e tohu ana nga hononga). Hei aukati i te whakaraeraetanga, ko nga putanga hou o te git ka aukati i te kati o nga putunga ki te aratau "--local" kei roto nga hononga tohu kei roto i te raarangi $GIT_DIR/mea. I tua atu, kua huri te uara taunoa o te tawhā protocol.file.allow ki te "kaiwhakamahi", e kore ai e haumaru nga mahi kati ma te whakamahi i te konae:// kawa.

  • CVE-2022-39260 - Ka rere te tauoti i roto i te mahi split_cmdline() whakamahia i roto i te whakahau "git shell". Ka taea te whakamahi i te raru ki te whakaeke i nga kaiwhakamahi he "git shell" to ratou anga takiuru me te aratau tauwhitiwhiti (kua hangaia he kōnae $HOME/git-shell-commands). Ko te whakaraeraetanga o te whakaraeraetanga ka arahi ki te whakatinanatanga o te waehere i runga i te punaha i te wa e tukuna ana he whakahau i hangaia kia nui ake i te 2 GB te rahi.

Source: opennet.ru

Tāpiri i te kōrero