د توزیع شوي سرچینې کنټرول سیسټم اصلاحي ریلیزونه Git 2.38.4، 2.37.6، 2.36.5، 2.35.7، 2.34.7، 2.33.7، 2.32.6، 2.31.7 او 2.30.8 خپاره شوي، کوم چې حل کوي دوه زیانونه، د محلي کلونینګ او د "git apply" کمانډ لپاره د اصلاح کولو اغیزه کوي. تاسو کولی شئ د Debian، Ubuntu، RHEL، SUSE/openSUSE، Fedora، Arch، FreeBSD په پاڼو کې په توزیع کې د بسته بندي تازه معلوماتو خوشې کول تعقیب کړئ. که چیرې د اوسمهال نصب کول ممکن نه وي، نو دا د یوې حل لارې په توګه سپارښتنه کیږي چې په غیر باوري زیرمو کې د "-recurse-submodules" اختیار سره د "git clone" عملیات ترسره کولو څخه ډډه وکړي، او د "git apply" او "د کارولو څخه ډډه وکړي." git am" په بې باوره زیرمو کې کمانډونه. کوډ.
- د CVE-2023-22490 زیان منونکي برید کونکي ته اجازه ورکوي چې د کلون شوي ذخیره مینځپانګې کنټرول کړي ترڅو د کارونکي سیسټم حساس معلوماتو ته لاسرسی ومومي. دوه نیمګړتیاوې د زیان مننې په رامینځته کیدو کې مرسته کوي:
لومړی نیمګړتیا اجازه ورکوي، کله چې د ځانګړي ډیزاین شوي ذخیره سره کار کوي، د محلي کلونینګ اصلاح کولو کارول حتی کله چې د ټرانسپورټ کارولو په وخت کې چې د بهرني سیسټمونو سره اړیکه لري، ترلاسه کړي.
دویمه نیمګړتیا د $GIT_DIR/آبجیکٹ ډایرکټر پر ځای د سمبولیک لینک ځای په ځای کولو ته اجازه ورکوي، د زیان منونکي CVE-2022-39253 په څیر، د دې لپاره چې د $GIT_DIR/آبجیکٹ ډایرکټر کې د سمبولیک لینکونو ځای په ځای کولو مخه ونیسي، مګر داسې ونشو. دا حقیقت وګورئ چې د $GIT_DIR/آبجیکٹ ډایرکټر ممکن پخپله سمبولیک لینک وي.
په محلي کلونینګ حالت کې، git $GIT_DIR/شیان د سیملنکونو په حواله کولو سره هدف ډایرکټر ته لیږدوي، کوم چې مستقیم حواله شوي فایلونه د هدف ډایرکټر ته کاپي کیږي. د غیر محلي ټرانسپورټ لپاره د محلي کلونینګ اصلاح کولو کارولو ته بدلون ورکول د زیانونو استخراج ته اجازه ورکوي کله چې د بهرني زیرمو سره کار کوي (د مثال په توګه ، په تکراري ډول د فرعي ماډلونو په شمول د کمانډ سره د "git کلون — recurse-submodules" کولی شي د فرعي ماډل په توګه بسته شوي ناوړه ذخیره کلون کولو لامل شي. په بل ذخیره کې).
- زیانمنتیا CVE-2023-23946 د کاري لارښود څخه بهر د فایلونو مینځپانګې ته اجازه ورکوي چې د "git apply" کمانډ ته په ځانګړي ډول جوړ شوي ان پټ په لیږدولو سره بیا لیکل شي. د مثال په توګه ، برید د پیچونو پروسس کولو پرمهال ترسره کیدی شي چې د برید کونکي لخوا په "git apply" کې چمتو شوي. د کاري کاپي څخه بهر د فایلونو رامینځته کولو څخه پیچونو بندولو لپاره ، "git apply" د پیچونو پروسس کول بندوي کوم چې د سیملنکونو په کارولو سره د فایل لیکلو هڅه کوي. مګر دا معلومه شوه چې دا محافظت په لومړي ځای کې د سمبولیک لینک رامینځته کولو له لارې تیریدلی شي.
سرچینه: opennet.ru