ဖြန့်ဝေသည့်ရင်းမြစ်ထိန်းချုပ်မှုစနစ် Git 2.38.4၊ 2.37.6၊ 2.36.5၊ 2.35.7၊ 2.34.7၊ 2.33.7၊ 2.32.6၊ 2.31.7 နှင့် 2.30.8 တို့ကို ပြုပြင်ထုတ်ဝေပြီးပါပြီ၊ အားနည်းချက်နှစ်ခု၊ ဒေသဆိုင်ရာ cloning အတွက် ပိုမိုကောင်းမွန်အောင်လုပ်ဆောင်မှုများနှင့် "git apply" command ကို ထိခိုက်စေပါသည်။ Debian၊ Ubuntu၊ RHEL၊ SUSE/openSUSE၊ Fedora၊ Arch၊ FreeBSD ၏ စာမျက်နှာများတွင် ဖြန့်ဝေမှုများတွင် ပက်ကေ့ခ်ျအပ်ဒိတ်များ ထုတ်ဝေမှုကို သင်ခြေရာခံနိုင်သည်။ အပ်ဒိတ်ကို ထည့်သွင်းရန် မဖြစ်နိုင်ပါက၊ "--recurse-submodules" ရွေးချယ်မှုဖြင့် "--recurse-submodules" လုပ်ဆောင်ချက်ကို ရှောင်ရှားရန်နှင့် "git apply" နှင့် "အသုံးပြုခြင်းကို ရှောင်ကြဉ်ရန်" git am" မယုံကြည်ရသော သိမ်းဆည်းထားသောနေရာများတွင် ညွှန်ကြားချက်များ။ ကုဒ်။
- CVE-2023-22490 အားနည်းချက်သည် တိုက်ခိုက်သူအား အသုံးပြုသူ၏စနစ်ရှိ အထိခိုက်မခံသောဒေတာများထံ ဝင်ရောက်ခွင့်ရရှိရန် ခွင့်ပြုထားသည်။ အားနည်းချက်နှစ်ခုသည် အားနည်းချက်များ ပေါ်ပေါက်လာစေရန် အထောက်အကူပြုသည်-
ပထမ ချို့ယွင်းချက်သည် အထူးဒီဇိုင်းထုတ်ထားသည့် သိုလှောင်ရုံတစ်ခုနှင့် အလုပ်လုပ်သောအခါ၊ ပြင်ပစနစ်များနှင့် အပြန်အလှန်အကျိုးပြုသော သယ်ယူပို့ဆောင်ရေးကို အသုံးပြုသည့်တိုင် ဒေသဆိုင်ရာ cloning optimizations များကို အသုံးပြုခြင်းကို ရရှိစေရန် ခွင့်ပြုပေးပါသည်။
ဒုတိယချို့ယွင်းချက်သည် $GIT_DIR/objects directory အစား $GIT_DIR/objects directory အစား အားနည်းချက် CVE-2022-39253 နှင့်ဆင်တူသည်၊၊ ထိုအားနည်းချက်သည် $GIT_DIR/objects directory တွင် သင်္ကေတလင့်ခ်များနေရာချထားမှုကိုပိတ်ဆို့ထားသောကြောင့် ပြုပြင်ပေးသည်ရှိသော်၊ $GIT_DIR/objects directory ကိုယ်တိုင်က သင်္ကေတလင့်ခ်တစ်ခု ဖြစ်နိုင်ကြောင်း စစ်ဆေးပါ။
စက်တွင်းပုံတူခြင်းမုဒ်တွင်၊ git သည် symlinks များကို ကိုးကားခြင်းဖြင့် တိုက်ရိုက်ရည်ညွှန်းထားသောဖိုင်များကို ပစ်မှတ်လမ်းညွှန်သို့ ကူးယူသွားစေရန် $GIT_DIR/အရာဝတ္ထုများကို ပစ်မှတ်လမ်းညွှန်သို့ လွှဲပြောင်းပေးပါသည်။ ဒေသဆိုင်ရာမဟုတ်သော သယ်ယူပို့ဆောင်ရေးများအတွက် ဒေသတွင်းမဟုတ်သော ပိုမိုကောင်းမွန်အောင်ပြုလုပ်ခြင်းများကို အသုံးပြုခြင်းသို့ ပြောင်းခြင်းက ပြင်ပသိုလှောင်ရုံများနှင့် အလုပ်လုပ်သောအခါတွင် အားနည်းချက်များကို အသုံးချနိုင်သည် (ဥပမာ၊ "git clone—recurse-submodules" အမိန့်ဖြင့် submodules များကို ထပ်တလဲလဲထည့်သွင်းခြင်းဖြင့် အန္တရာယ်ရှိသော repository ကို ခွဲထုတ်ထားသော အန္တရာယ်ရှိသော repository ကိုပွားများနိုင်သည် အခြား repository တွင်)။
- Vulnerability CVE-2023-23946 သည် အလုပ်လမ်းညွှန်ပြင်ပရှိ ဖိုင်များ၏ အကြောင်းအရာများကို "git apply" ကွန်မန်းသို့ ပေးပို့ခြင်းဖြင့် အထူးဖန်တီးထားသော ထည့်သွင်းမှုကို အစားထိုးရန် ခွင့်ပြုသည်။ ဥပမာအားဖြင့်၊ “git apply” တွင် တိုက်ခိုက်သူပြင်ဆင်သည့် ဖာထေးမှုများကို လုပ်ဆောင်နေစဉ်အတွင်း တိုက်ခိုက်မှုတစ်ခု လုပ်ဆောင်နိုင်သည်။ အလုပ်လုပ်သောမိတ္တူ၏ပြင်ပတွင် ဖိုင်များဖန်တီးခြင်းမှ ဖာထေးမှုများကို ပိတ်ဆို့ရန်၊ "git apply" သည် symlinks များကိုအသုံးပြု၍ ဖိုင်တစ်ခုရေးရန်ကြိုးစားသည့် ဖာထေးမှုများကို "git apply" ဖြင့် ပိတ်ဆို့ထားသည်။ သို့သော် ဤအကာအကွယ်ကို ပထမနေရာတွင် သင်္ကေတလင့်ခ်တစ်ခု ဖန်တီးခြင်းဖြင့် ကျော်လွှားနိုင်သည်ဟု ထွက်ပေါ်လာသည်။
source: opennet.ru