د مایکروسافټ امنیت غبرګون مرکز، د اتو زیانونو څخه پنځه د وینډوز پلیټ فارم لپاره ځانګړي دي.
-
CVE-2019-1348 - د سټرینګ کمانډ "د فیچر صادراتو نښه = لاره"دا اجازه ورکوي په خپل سري لارښوونو کې لیبلونه ولیکئ، کوم چې د فایل سیسټم کې د خپل سري لارو د بیا لیکلو لپاره کارول کیدی شي کله چې د غیر چیک شوي ان پټ ډیټا سره د "git fast-import" عملیات ترسره کوي. -
CVE-2019-1350 - د کمانډ لاین دلیلونو غلط تیښتهرهبري کولی شي د ssh:// URL په کارولو سره د تکراري کلونینګ پرمهال د برید کونکي کوډ لرې پلي کولو لپاره. په ځانګړې توګه، د تیښتې دلیلونه چې په بیک سلیش کې پای ته رسیږي (د مثال په توګه، "ټیسټ \") په غلط ډول اداره شوي. پدې حالت کې ، کله چې د دوه ګوني نرخونو سره دلیل رامینځته کول ، وروستی اقتباس وتښتید ، کوم چې د کمانډ لاین کې ستاسو د اختیارونو بدیل تنظیم کول ممکن کړل. -
CVE-2019-1349 - کله چې د ځینې شرایطو لاندې د وینډوز چاپیریال کې په مکرر ډول فرعي ماډلونه کلون کول ("کلون - recurse-submodules")دا کیدای شي د ورته git لارښود دوه ځله کارول پیل کړئ (. git, git~1, git~2 او git~N په NTFS کې د یوې لارښود په توګه پیژندل شوي ، مګر دا وضعیت یوازې د git~1 لپاره ازمول شوی و) ، کوم چې د تنظیم کولو لپاره کارول کیدی شي. لارښود ته لیکل ". git". د خپل کوډ اجرا کولو تنظیم کولو لپاره ، برید کونکی ، د مثال په توګه ، کولی شي د .git/config فایل کې د پوسټ چیک آوټ هینډلر له لارې خپل سکریپټ بدل کړي. -
CVE-2019-1351 - د وینډوز په لارو کې د لیک ډرایو نومونو لپاره هینډلر کله چې د لارې ژباړل لکه "C:\" یوازې د واحد لیک لاتین پیژندونکو ځای په ځای کولو لپاره ډیزاین شوی و ، مګر د "subst letter:path" له لارې ټاکل شوي مجازی ډرایو رامینځته کولو احتمال په پام کې نه و نیولی. . دا ډول لارې د مطلق نه بلکه د نسبي لارو په توګه چلند شوي ، کوم چې دا امکان رامینځته کړی کله چې ناوړه ذخیره کلون کول ، د کاري لارښود ونې څخه بهر په خپل سري لارښود کې ریکارډ تنظیم کول (د مثال په توګه ، کله چې په ډیسک کې د شمیرو یا یونیکوډ حروف کارول نوم - "1:\what\the\ hex.txt" یا "ä:\tschibät.sch"). -
CVE-2019-1352 - کله چې د وینډوز پلیټ فارم کې کار کوئ ، په NTFS کې د بدیل ډیټا جریانونو کارول ، د فایل نوم ته د ":stream-name:stream-type" خاصیت اضافه کولو سره رامینځته شوی ،اجازه په ".git/" ډایرکټر کې فایلونه اووررایټ کړئ کله چې د ناوړه زیرمو کلون کول. د مثال په توګه، په NTFS کې د ".git::$INDEX_ALLOCATION" نوم د ".git" ډایرکټر لپاره د اعتبار وړ لینک په توګه چلند شوی. -
CVE-2019-1353 - کله چې د WSL (د لینکس لپاره د وینډوز سب سیسټم) چاپیریال کې Git کاروئ کله چې کاري لارښود ته لاسرسی ومومئنه کارول کیږي په NTFS کې د نوم مینځلو پروړاندې محافظت (د FAT نوم ژباړې له لارې بریدونه ممکن وو ، د مثال په توګه ، ".git" د "git~1" لارښود له لارې لاسرسی کیدی شي). -
CVE-2019-1354 -
فرصت د وینډوز پلیټ فارم کې ".git/" ډایرکټر ته لیکي کله چې په نوم کې د بیک سلیش سره فایلونه لرونکي ناوړه زیرمې کلون کوي (د مثال په توګه ، "a\b") ، کوم چې په یونیکس/لینکس کې د منلو وړ دی ، مګر د یوې برخې په توګه منل شوی. په وینډوز کې لاره. -
CVE-2019-1387 - د فرعي ماډل نومونو ناکافي چک کول د هدفي بریدونو تنظیم کولو لپاره کارول کیدی شي ، کوم چې که په تکراري ډول کلون شي ، په احتمالي توګهرهبري کولی شي د برید کوونکي کوډ اجرا کول. ګیټ د بل فرعي ماډل ډایرکټر کې د فرعي ماډل لارښود رامینځته کولو مخه نه ده نیولې ، کوم چې په ډیری قضیو کې به یوازې ګډوډي رامینځته کړي ، مګر په احتمالي توګه د بل ماډل مینځپانګې د تکراري کلونینګ پروسې په جریان کې د بیا لیکل کیدو مخه نه نیسي (د مثال په توګه ، د فرعي ماډل لارښودونه "hippo" او "hippo/hooks" د ".git/modules/hippo/" او ".git/modules/hippo/hooks/" په توګه ځای پر ځای شوي، او په هپپو کې د هکس ډایرکټر په جلا توګه د محرک شوي هکونو کوربه کولو لپاره کارول کیدی شي.
د وینډوز کاروونکو ته مشوره ورکول کیږي چې سمدلاسه د دوی د Git نسخه تازه کړي ، او تر تازه کیدو پورې د غیر تصدیق شوي ذخیره کولو کلون کولو څخه ډډه وکړي. که چیرې دا لاهم ممکنه نه وي چې په بیړني ډول د Git نسخه تازه کړئ ، نو د برید خطر کمولو لپاره ، سپارښتنه کیږي چې د "git clone —recurse-submodules" او "git submodule update" د غیر چیک شوي ذخیره کولو سره ونه چلوئ ، نه د "git" کارولو لپاره. ګړندی واردول" د غیر چیک شوي ان پټ جریانونو سره ، او د NTFS میشته برخو ته د ذخیره کولو کلون کولو لپاره نه.
د اضافي امنیت لپاره، نوي ریلیزونه په .gitmodules کې د "submodule. {name}.update=!command" فارم جوړولو کارول هم منع کوي. د توزیع لپاره، تاسو کولی شئ په پاڼو کې د بسته بندي تازه معلوماتو خوشې کول تعقیب کړئ
سرچینه: opennet.ru