ورهايل ماخذ ڪنٽرول سسٽم جي اصلاحي رليز Git 2.24.1، 2.23.1، 2.22.2، 2.21.1، 2.20.2، 2.19.3، 2.18.2، 2.17.3، 2.16.6، 2.15.4 ۽ 2.14.62.24.1. . XNUMX، جنهن ڪمزورين کي مقرر ڪيو آهي جيڪو هڪ حملي ڪندڙ کي اجازت ڏئي ٿو ته فائل سسٽم ۾ صوابديدي رستن کي ٻيهر لکڻ، ريموٽ ڪوڊ جي عمل کي منظم ڪرڻ، يا ".git/" ڊاريڪٽري ۾ فائلن کي اوور رائٽ ڪرڻ. سڀ کان وڌيڪ مسئلا ملازمن جي نشاندهي ڪن ٿا
Microsoft سيڪيورٽي رسپانس سينٽر، اٺن مان پنج ڪمزورين ونڊوز پليٽ فارم لاءِ مخصوص آهن.
- - اسٽريمنگ ڪمانڊ ”فيچر ايڪسپورٽ مارڪس = رستو“ صوابديدي ڊائريڪٽرن ڏانهن ليبل لکو، جيڪي اڻڄاڻ ٿيل ان پٽ ڊيٽا سان "گٽ فاسٽ-آمد" آپريشن کي انجام ڏيڻ دوران فائل سسٽم ۾ صوابديدي رستن کي اوور رائٽ ڪرڻ لاءِ استعمال ڪري سگھجن ٿيون.
- - ڪمانڊ لائن دليلن جي غلط فرار ssh: // URL استعمال ڪندي بار بار ڪلوننگ دوران حملي ڪندڙ ڪوڊ جي ريموٽ تي عمل ڪرڻ لاءِ. خاص طور تي، فرار ٿيڻ واري دليلن کي پٺتي پيل ۾ ختم ڪيو ويو (مثال طور، "ٽيسٽ \") غلط طريقي سان سنڀاليو ويو. انهي صورت ۾، جڏهن ڊبل حوالن سان هڪ دليل ٺاهيندي، آخري اقتباس ڀڄي ويو، جنهن کي ممڪن ڪيو ويو ته توهان جي اختيارن جي متبادل کي ڪمانڊ لائن تي ترتيب ڏيو.
- - جڏهن بار بار ڪلوننگ سب ماڊلز ("ڪلون -recurse-submodules") ونڊوز ماحول ۾ ڪجهه حالتن هيٺ ساڳي گٽ ڊاريڪٽري کي ٻه ڀيرا استعمال ڪرڻ شروع ڪريو (.git, git~1, git~2 ۽ git~N NTFS ۾ هڪ ڊاريڪٽري طور سڃاتل آهن، پر اها صورتحال صرف گٽ~1 لاءِ آزمائي وئي هئي)، جيڪا ترتيب ڏيڻ لاءِ استعمال ٿي سگهي ٿي. ڊاريڪٽري ڏانهن لکڻ ". git". پنھنجي ڪوڊ جي عمل کي منظم ڪرڻ لاء، ھڪڙو حملو ڪندڙ، مثال طور، پنھنجي اسڪرپٽ کي پوسٽ چيڪ آئوٽ ھينڊلر ذريعي .git/config فائل ۾ متبادل ڪري سگھي ٿو.
- - ونڊوز رستن ۾ ليٽر ڊرائيو نالن لاءِ هينڊلر جڏهن رستن جو ترجمو ڪري رهيو آهي جهڙوڪ “C:\” صرف هڪ اکر لاطيني سڃاڻپ ڪندڙ کي تبديل ڪرڻ لاءِ ٺاهيو ويو هو، پر "subst letter:path" ذريعي تفويض ڪيل ورچوئل ڊرائيو ٺاهڻ جي امڪان کي نظر ۾ نه رکيو ويو. . اهڙن رستن کي مطلق نه، پر لاڳاپو رستا سمجهيو ويندو هو، جنهن اهو ممڪن ڪيو، جڏهن خرابي واري ذخيري کي ڪلون ڪرڻ، ڪم ڪندڙ ڊاريڪٽري جي وڻ کان ٻاهر هڪ خودمختيار ڊاريڪٽري ۾ رڪارڊ منظم ڪرڻ (مثال طور، جڏهن ڊسڪ ۾ نمبر يا يونيڪوڊ ڪردارن کي استعمال ڪندي. نالو - "1:\what\the\hex.txt" يا "ä:\tschibät.sch").
- - جڏهن ونڊوز پليٽ فارم تي ڪم ڪري رهيا آهيو، NTFS ۾ متبادل ڊيٽا اسٽريمز جو استعمال، فائل جي نالي ۾ ":stream-name:stream-type" وصف شامل ڪندي ٺاهي وئي، ".git/" ڊاريڪٽري ۾ فائلن کي اوور رائٽ ڪريو جڏهن خرابي واري ذخيري کي ڪلون ڪرڻ. مثال طور، نالو ".git::$INDEX_ALLOCATION" NTFS ۾ ".git" ڊاريڪٽري جي صحيح لنڪ جي طور تي علاج ڪيو ويو.
- - جڏهن ڪم ڪندڙ ڊاريڪٽري تائين رسائي حاصل ڪرڻ وقت WSL (ونڊوز سب سسٽم لاءِ لينڪس) ماحول ۾ Git استعمال ڪندي NTFS ۾ نالي جي ڦيرڦار جي خلاف تحفظ (FAT نالي جي ترجمي ذريعي حملا ممڪن هئا، مثال طور، ".git" تائين رسائي ٿي سگهي ٿي "git~1" ڊاريڪٽري ذريعي).
- -
ونڊوز پليٽ فارم تي ".git/" ڊاريڪٽري ڏانهن لکندو آهي جڏهن خراب ريپوزٽريز کي ڪلون ڪري ٿو جنهن ۾ فائلن تي مشتمل آهي بيڪ سليش نالي سان (مثال طور، "a\b")، جيڪو يونڪس/لينڪس تي قابل قبول آهي، پر ان جي حصي طور قبول ڪيو ويو آهي. ونڊوز تي رستو. - - ذيلي ماڊل نالن جي ناکافي چيڪنگ ھدف ٿيل حملن کي منظم ڪرڻ لاء استعمال ٿي سگھي ٿي، جيڪي، جيڪڏھن بار بار ڪلون ٿيل آھن، ممڪن طور تي حملي آور جي ڪوڊ تي عمل ڪرڻ لاء. گٽ هڪ ٻئي سب ماڊل ڊاريڪٽري جي اندر هڪ ذيلي ماڊل ڊاريڪٽري جي ٺهڻ کان نه روڪيو، جيڪا اڪثر ڪيسن ۾ صرف مونجهاري جو سبب بڻجندي، پر ممڪن طور تي ڪنهن ٻئي ماڊل جي مواد کي ٻيهر ورجائيندڙ ڪلوننگ جي عمل دوران اوور رائٽ ٿيڻ کان نه روڪيو (مثال طور، سب ماڊل ڊائريڪٽري "hippo" ۽ "hippo/hooks" کي ".git/modules/hippo/" ۽ ".git/modules/hippo/hooks/" جي طور تي رکيو ويو آهي، ۽ هپپو ۾ ٿلهو ڊاريڪٽري الڳ الڳ طور تي استعمال ڪري سگھجن ٿيون ٽرگر ٿيل ٿڪن کي ميزباني ڪرڻ لاءِ.
Windows صارفين کي مشورو ڏنو ويو آهي ته فوري طور تي Git جو پنهنجو نسخو اپڊيٽ ڪن، ۽ تازه ڪاري ٿيڻ تائين غير تصديق ٿيل ذخيرو ڪلون ڪرڻ کان پاسو ڪن. جيڪڏهن Git ورجن کي فوري طور تي اپڊيٽ ڪرڻ ممڪن نه آهي، ته پوءِ حملي جي خطري کي گهٽائڻ لاءِ، اها سفارش ڪئي وئي آهي ته ”گٽ ڪلون – ريڪرس-سب ماڊلس“ ۽ ”گٽ سب موڊيول اپڊيٽ“ کي اڻ چيڪ ٿيل ريپوزٽريز سان نه هلايو وڃي، نه ته ”گٽ استعمال ڪرڻ“. تيز درآمد“ اڻ چيڪ ٿيل ان پٽ اسٽريمز سان، ۽ NTFS جي بنياد تي ورهاڱي جي ذخيرن کي ڪلون ڪرڻ لاءِ نه.
اضافي سيڪيورٽي لاءِ، نوان رليز پڻ .gitmodules ۾ فارم "submodule.{name}.update=!command" جي استعمال کي منع ڪن ٿا. تقسيم لاء، توهان صفحن تي پيڪيجز جي تازه ڪاري جي ڇڏڻ کي ٽريڪ ڪري سگهو ٿا ,, , , , , , .
جو ذريعو: opennet.ru