🥇Git အားနည်းချက်များသည် data ယိုစိမ့်မှုနှင့် overwrite

Git 2.38.4၊ 2.37.6၊ 2.36.5၊ 2.35.7၊ 2.34.7၊ 2.33.7၊ 2.32.6၊ 2.31.7 နှင့် 2.30.8 patch များကို distributed source control system အတွက် ထုတ်ပြန်လိုက်ပါပြီ။ ဤ patch များသည် local cloning optimizations နှင့် "git apply" command ကို ထိခိုက်စေသော အားနည်းချက်နှစ်ခုကို ဖြေရှင်းပေးပါသည်။ ဤ distribution များအတွက် package updates များ ထုတ်ပြန်မှုကို အောက်ပါစာမျက်နှာများတွင် ခြေရာခံနိုင်ပါသည်။ Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD။ အပ်ဒိတ်ကို ထည့်သွင်း၍မရပါက၊ ဖြေရှင်းနည်းအနေဖြင့်၊ မယုံကြည်ရသော repositories များပါသည့် "--recurse-submodules" option ပါသည့် "git clone" လုပ်ဆောင်ချက်ကို ရှောင်ကြဉ်ရန်နှင့် မစမ်းသပ်ရသေးသော code ပါသည့် "git apply" နှင့် "git am" command များကို မသုံးရန် ကျွန်ုပ်တို့ အကြံပြုအပ်ပါသည်။

အားနည်းချက် CVE-2023-22490 သည် အသုံးပြုသူ၏စနစ်ရှိ အထိခိုက်မခံသောဒေတာများကို ဝင်ရောက်ကြည့်ရှုနိုင်စေရန် ဖန်တီးသူအား ပုံတူပွားထားသော သိုလှောင်မှု၏ အကြောင်းအရာများကို ထိန်းချုပ်ပေးသည်။ အားနည်းချက်နှစ်ခုသည် အားနည်းချက်ကိုဖြစ်စေသည်-
ပထမ ချို့ယွင်းချက်သည် အထူးဒီဇိုင်းထုတ်ထားသည့် သိုလှောင်ရုံတစ်ခုနှင့် အလုပ်လုပ်သောအခါ၊ ပြင်ပစနစ်များနှင့် အပြန်အလှန်အကျိုးပြုသော သယ်ယူပို့ဆောင်ရေးကို အသုံးပြုသည့်တိုင် ဒေသဆိုင်ရာ cloning optimizations များကို အသုံးချနိုင်စေရန် ခွင့်ပြုပေးပါသည်။
ဒုတိယ ချို့ယွင်းချက်သည် $GIT_DIR/objects directory တွင် သင်္ကေတလင့်ခ်များ နေရာချထားမှုကို ပိတ်ဆို့ထားသည့် အားနည်းချက်ဖြစ်သည့် CVE-2022-39253 နှင့် ဆင်တူသည့် $GIT_DIR/objects directory အစား သင်္ကေတလင့်ခ်ကို နေရာချထားခွင့်ပြုသော်လည်း $GIT_DIR/objecty ကိုယ်တိုင်က သင်္ကေတလင့်ခ်များ ဖြစ်နိုင်သည်ဟူသော အချက်ကို မစစ်ဆေးခဲ့ပါ။

စက်တွင်းပုံတူကူးခြင်းမုဒ်တွင်၊ git သည် သင်္ကေတလင့်ခ်များကို အကိုးအကားဖြင့် $GIT_DIR/အရာဝတ္တုများကို ပစ်မှတ်လမ်းညွှန်သို့ လွှဲပြောင်းပေးသည်၊ ၎င်းသည် ၎င်းတို့ညွှန်ပြသောဖိုင်များကို ပစ်မှတ်လမ်းညွှန်သို့ တိုက်ရိုက်ကူးယူခြင်းဖြစ်သည်ဟု ရလဒ်ထွက်ပေါ်လာသည်။ ဒေသဆိုင်ရာမဟုတ်သော သယ်ယူပို့ဆောင်ရေးများအတွက် ဒေသန္တရကိုယ်ပွားများ ပိုမိုကောင်းမွန်အောင်ပြုလုပ်ခြင်းသို့ ပြောင်းခြင်းသည် ပြင်ပသိုလှောင်ခန်းများနှင့် အလုပ်လုပ်သောအခါတွင် အမြတ်ထုတ်ခြင်းကို ခွင့်ပြုသည် (ဥပမာ၊ "git clone --recurse-submodules" ပါရှိသော ထပ်ကာထပ်ကာဖြင့် ထပ်ကာထပ်ကာ ပါဝင်သော အန္တရာယ်ရှိသော repository ကို အခြား repository ခွဲတစ်ခုအနေဖြင့် ထုပ်ပိုးထားသော အန္တရာယ်ရှိသော repository ကိုပွားနိုင်စေသည်)။
Vulnerability CVE-2023-23946 သည် အထူးဖန်တီးထားသော input ကို git apply command သို့ ပေးပို့ခြင်းဖြင့် အလုပ်လမ်းညွှန်ပြင်ပရှိ ဖိုင်များ၏ အကြောင်းအရာများကို overwrite လုပ်ခွင့်ပြုသည်။ ဥပမာအားဖြင့်၊ git အသုံးပြုသည့် လုပ်ငန်းစဉ်များတွင် တိုက်ခိုက်သူ-ဖန်တီးထားသော ဖာထေးမှုများကို လုပ်ဆောင်သည့်အခါ တိုက်ခိုက်မှုကို လုပ်ဆောင်နိုင်သည်။ အလုပ်လုပ်သောမိတ္တူပြင်ပတွင် ဖိုင်များဖန်တီးခြင်းမှ ဖာထေးခြင်းမှ ကာကွယ်ရန်၊ git apply သည် သင်္ကေတလင့်ခ်များကို အသုံးပြု၍ ဖိုင်တစ်ခုရေးသားရန် ကြိုးပမ်းသည့် ဖာထေးမှုများ လုပ်ဆောင်ခြင်းကို ပိတ်ဆို့ထားသည်။ သို့သော် ဤအကာအကွယ်သည် ပထမနေရာတွင် ပုံဆောင်လင့်ခ်ကို ဖန်တီးခြင်းဖြင့် ကျော်လွှားနိုင်သည်။

source: opennet.ru

Git Vulnerabilities သည် Data ပေါက်ကြားခြင်းနှင့် Overwrite လုပ်ခြင်းဆီသို့ ဦးတည်စေသည်။