د توزیع شوي سرچینې کنټرول سیسټم اصلاحي ریلیزونه Git 2.35.2، 2.30.3، 2.31.2، 2.32.1، 2.33.2 او 2.34.2 خپاره شوي، په کوم کې چې دوه زیانمنونکي ثابت شوي:
- CVE-2022-24765 - یو برید په څو کاروونکو سیسټمونو کې د ګډ لارښودونو سره پیژندل شوی چې کولی شي د بل کارونکي لخوا تعریف شوي امرونو اجرا کولو لامل شي. یو برید کونکی کولی شي په هغه ځایونو کې د ".git" لارښود رامینځته کړي چې د نورو کاروونکو سره یو ځای کیږي (د مثال په توګه ، په شریک لارښودونو یا لارښودونو کې د لنډمهاله فایلونو سره) او په دې کې د ".git/config" ترتیب کولو فایل د هینډلرونو تنظیم کولو سره ځای په ځای کړي. ویل کیږي کله چې ځینې دندې اجرا کیږي. git کمانډونه (د مثال په توګه، تاسو کولی شئ د کوډ اجرا کولو تنظیم کولو لپاره core.fsmonitor پیرامیټر وکاروئ).
په ".git/config" کې تعریف شوي هینډلرونه به د مختلف کارونکي په توګه ویل کیږي که چیرې دا کارونکي د برید کونکي لخوا رامینځته شوي ".git" فرعي لارښود څخه لوړ لارښود کې git ته لاسرسی ومومي. د زنګ په شمول په غیر مستقیم ډول ترسره کیدی شي ، د مثال په توګه ، کله چې د ګیټ ملاتړ سره د کوډ ایډیټرونو کارول لکه VS کوډ او اتوم ، یا کله چې د اډونو کارول چې د "ګیټ حالت" رامینځته کوي (د مثال په توګه ، ګیټ باش یا پوش ګیټ). د Git 2.35.2 نسخه کې، زیانمنتیا په لاندې لارښودونو کې د ".git" لټون کولو منطق کې د بدلونونو له لارې بنده شوې وه (د ".git" لارښود اوس له پامه غورځول شوی که چیرې دا د بل کارونکي پورې اړه ولري).
- CVE-2022-24767 د وینډوز ځانګړی زیان دی چې کوډ ته اجازه ورکوي چې د سیسټم امتیازاتو سره اجرا شي کله چې د وینډوز لپاره د Git غیر نصبولو عملیات پرمخ وړي. ستونزه د غیر نصب کونکي له امله رامینځته کیږي چې په لنډمهاله لارښود کې د سیسټم کاروونکو لخوا د لیکلو وړ وي. برید په لنډمهاله ډایرکټر کې د بدیل DLLs ځای په ځای کولو سره ترسره کیږي ، کوم چې به بار شي کله چې غیر نصب کونکی د سیسټم حقونو سره چلیږي.
سرچینه: opennet.ru