ဖြန့်ဝေထားသောရင်းမြစ်ထိန်းချုပ်မှုစနစ် Git 2.35.2၊ 2.30.3၊ 2.31.2၊ 2.32.1၊ 2.33.2 နှင့် 2.34.2 တို့ကို ဖြန့်ချိခဲ့ပြီး အားနည်းချက်နှစ်ခုကို ပြင်ဆင်ပေးသည်-
- CVE-2022-24765 - မျှဝေထားသော လမ်းညွှန်များပါရှိသော သုံးစွဲသူအများအပြားစနစ်များတွင် အခြားအသုံးပြုသူမှသတ်မှတ်ထားသောအမိန့်များကို အကောင်အထည်ဖော်ရန် ဦးတည်စေမည့် တိုက်ခိုက်မှုတစ်ခုကို ဖော်ထုတ်တွေ့ရှိခဲ့သည်။ တိုက်ခိုက်သူသည် အခြားအသုံးပြုသူများနှင့် ထပ်နေမည့်နေရာများတွင် (ဥပမာ၊ မျှဝေထားသော လမ်းညွှန်များ သို့မဟုတ် ယာယီဖိုင်များပါသည့် လမ်းညွှန်) တွင် “.git” လမ်းညွှန်ကို ဖန်တီးနိုင်ပြီး ၎င်းတွင် “.git/config” ဖွဲ့စည်းမှုဖိုင်ကို ခေါ်ယူသည့်အခါတွင် ကိုင်တွယ်သူ၏ဖွဲ့စည်းမှုပုံစံဖြင့် ထည့်သွင်းနိုင်သည်။ အချို့သော လုပ်ငန်းဆောင်တာများကို လုပ်ဆောင်ပါသည်။ git ညွှန်ကြားချက်များ (ဥပမာ၊ သင်သည် ကုဒ်လုပ်ဆောင်မှုကို စုစည်းရန် core.fsmonitor ကန့်သတ်ဘောင်ကို သုံးနိုင်သည်)။
“.git/config” တွင် သတ်မှတ်ထားသော ကိုင်တွယ်သူများကို တိုက်ခိုက်သူဖန်တီးသည့် “.git” လမ်းညွှန်ခွဲထက် မြင့်မားသော အဆင့်တွင်ရှိသော လမ်းညွှန်တစ်ခုတွင် git ကို အသုံးပြုပါက အခြားအသုံးပြုသူ၏ အခွင့်အရေးများနှင့် ခေါ်ဆိုမည်ဖြစ်သည်။ ဥပမာအားဖြင့်၊ VS Code နှင့် Atom ကဲ့သို့သော git ကိုပံ့ပိုးပေးသည့် ကုဒ်တည်းဖြတ်သူအား အသုံးပြုသည့်အခါ သို့မဟုတ် “git status” ကိုသုံးသည့် အပိုပရိုဂရမ်များကို အသုံးပြုသည့်အခါ (ဥပမာ၊ Git Bash သို့မဟုတ် posh-git) ကို သွယ်ဝိုက်၍ခေါ်ဆိုနိုင်သည်။ Git 2.35.2 တွင်၊ အရင်းခံလမ်းညွှန်များထဲတွင် ".git" ကိုရှာဖွေခြင်းအတွက် လော့ဂျစ်ပြောင်းလဲမှုများမှတစ်ဆင့် အားနည်းချက်ကို ပိတ်ဆို့ထားပါသည် (အခြားအသုံးပြုသူတစ်ဦးမှပိုင်ဆိုင်ပါက ယခု ".git" လမ်းညွှန်ကို ထည့်သွင်းစဉ်းစားမည်မဟုတ်ပါ)။
- CVE-2022-24767 သည် Git for Windows ပရိုဂရမ်၏ Uninstall လုပ်ဆောင်မှုကို လုပ်ဆောင်သောအခါတွင် SYSTEM အခွင့်ထူးများဖြင့် ကုဒ်လုပ်ဆောင်မှုကို ခွင့်ပြုသည့် Windows ပလက်ဖောင်းဆိုင်ရာ သီးသန့်အားနည်းချက်တစ်ခုဖြစ်သည်။ Uninstaller သည် system users မှရေးသားနိုင်သောယာယီလမ်းညွှန်တွင်အလုပ်လုပ်နေသောကြောင့်ပြဿနာဖြစ်ရသည်။ Uninstaller ကို SYSTEM လုပ်ပိုင်ခွင့်များဖြင့် စတင်သောအခါတွင် အစားထိုး DLLs များကို ယာယီလမ်းညွှန်တွင် ထားခြင်းဖြင့် တိုက်ခိုက်မှုကို လုပ်ဆောင်သည်။
source: opennet.ru