د توزیع شوي سرچینې کنټرول سیسټم اصلاحي خپرونې Git 2.40.1, 2.39.3, 2.38.5, 2.37.7, 2.36.6, 2.35.8, 2.34.8, 2.33.8, 2.32.7, 2.31.8 او لري .2.30.9 خپور شو، کوم چې پنځه زیانمننې ثابتې کړې. تاسو کولی شئ په Debian، Ubuntu، RHEL، SUSE/openSUSE، Fedora، Arch، FreeBSD پاڼو کې په توزیع کې د بسته بندي تازه معلوماتو خپرول تعقیب کړئ. د زیانونو په وړاندې د ساتنې لپاره د یوې حل لارې په توګه، دا سپارښتنه کیږي چې د "git apply --reject" کمانډ چلولو څخه ډډه وکړئ کله چې د غیر آزموینې بهرنۍ پیچونو سره کار کوئ، او د "git submodule deinit"، "git" چلولو دمخه د $GIT_DIR/config منځپانګې وګورئ. config --rename-section" او "git config --remove-section" کله چې د بې باوره زیرمو سره معامله کوئ.
زیانمنتیا CVE-2023-29007 د $GIT_DIR/config ترتیب فایل کې د ترتیباتو بدیل ته اجازه ورکوي، کوم چې په سیسټم کې د کوډ اجرا کولو لپاره کارول کیدی شي په core.pager، core.editor او core.sshCommand لارښودونو کې د اجرا وړ فایلونو ته د لارو په ټاکلو سره. زیانمنتیا د منطقي تېروتنې له امله رامینځته کیږي چې له امله یې خورا اوږد ترتیب ارزښتونه د نوي برخې پیل په توګه درملنه کیدی شي کله چې د ترتیب فایل څخه د یوې برخې نوم بدلول یا حذف کول. په عمل کې، د استثماري ارزښتونو بدیل د خورا اوږد فرعي ماډل URLs مشخص کولو سره ترلاسه کیدی شي چې د پیل کولو پرمهال د $GIT_DIR/config فایل کې زیرمه شوي. دا URLs د نوي ترتیباتو په توګه تشریح کیدی شي کله چې د "git submodule deinit" له لارې د لرې کولو هڅه کوي.
زیانمنتیا CVE-2023-25652 د کاري ونې څخه بهر د فایلونو مینځپانګې بیا لیکلو ته اجازه ورکوي کله چې ځانګړي جوړ شوي پیچونه د "git apply --reject" کمانډ لخوا پروسس کیږي. که تاسو د "git apply" کمانډ سره ناوړه پیچ اجرا کولو هڅه وکړئ چې د سمبولیک لینک له لارې فایل ته د لیکلو هڅه کوي ، عملیات به رد شي. په Git 2.39.1 کې، د سیملنک مینیپولیشن محافظت د پیچونو بلاک کولو لپاره غزول شوی چې سیملنک رامینځته کوي او د دوی له لارې لیکلو هڅه کوي. د پام وړ زیانمننې جوهر دا دی چې ګیټ په پام کې نه دی نیولی چې کارونکي کولی شي د "git apply -reject" کمانډ اجرا کړي ترڅو د پیچ رد شوي برخې د ".rej" توسیع سره د فایلونو په توګه ولیکي ، او برید کونکی کولی شي د دې فرصت څخه کار واخلئ ترڅو مینځپانګې په خپل سري لارښود کې ولیکئ ، تر هغه چې اوسني اجازې ورته اجازه ورکوي.
سربیره پردې ، درې زیانونه چې یوازې د وینډوز پلیټ فارم کې څرګندیږي حل شوي: CVE-2023-29012 (د "Git CMD" کمانډ اجرا کولو پرمهال د ذخیره کولو کاري لارښود کې د اجرا وړ doskey.exe لټون وکړئ ، کوم چې تاسو ته اجازه درکوي تنظیم کړئ. د کارونکي په سیسټم کې ستاسو د کوډ اجرا کول)، CVE-2023 -25815 (په ګیټ متن کې د دودیز ځایی کولو فایلونو پروسس کولو پرمهال بفر اوور فلو) او CVE-2023-29011 (د SOCKS5 له لارې کار کولو پرمهال د connect.exe فایل بدلولو امکان).
سرچینه: opennet.ru