گٽ ۾ هڪ نازڪ ڪمزوري (CVE-2021-29468) دريافت ڪئي وئي آهي، جيڪا صرف سائگون ماحول (انڊرليڊنگ جي نقل ڪرڻ لاءِ هڪ لائبريري) جي تعمير ڪرڻ وقت ظاهر ٿئي ٿي. Linux API ۾ Windows ۽ عام لينڪس پروگرامن جو هڪ سيٽ Windows). ڪمزوري حملي آور جي ڪنٽرول ٿيل ڪوڊ جي عملدرآمد جي اجازت ڏئي ٿي جڏهن حملي آور جي ڪنٽرول ٿيل ريپوزٽري مان ڊيٽا ("گٽ چيڪ آئوٽ") حاصل ڪري رهيو آهي. مسئلو سائگ ون لاءِ گٽ 2.31.1-2 پيڪيج ۾ حل ڪيو ويو آهي. مکيه گٽ پروجيڪٽ ۾ مسئلو اڃا تائين حل نه ٿيو آهي (اهو ممڪن ناهي ته ڪو به سائگ ون لاءِ پاڻ گٽ ٺاهي رهيو هجي، اڳ ۾ ٺهيل پيڪيج استعمال ڪرڻ بدران).
ڪمزوري سائگون ماحول جي ڪري پيدا ٿئي ٿي، بجاءِ ان جي ته ان کي يونڪس جهڙو نظام سمجهيو وڃي، Windows، جنهن جي نتيجي ۾ رستي ۾ '\' ڪردار جي استعمال تي ڪا به پابندي ناهي، جڏهن ته سائگون ۾، جيئن Windows، هي علامت ڊائريڪٽريز کي الڳ ڪرڻ لاءِ استعمال ڪري سگهجي ٿي. آخرڪار، بيڪ سليش علامت سان علامتي لنڪس ۽ فائلن تي مشتمل هڪ خاص طور تي تبديل ٿيل ريپوزٽري ٺاهڻ سان، سائگون ۾ هن ريپوزٽري کي لوڊ ڪرڻ وقت صوابديدي فائلن کي اوور رائٽ ڪرڻ ممڪن آهي (گٽ ۾). Windows 2019 ۾ به ساڳئي قسم جي ڪمزوري کي درست ڪيو ويو هو. فائلن کي اوور رائٽ ڪرڻ سان، هڪ حملو ڪندڙ گٽ ۾ هُڪ ڪالز کي اوور رائيڊ ڪري سگهي ٿو ۽ سسٽم تي صوابديدي ڪوڊ هلائي سگهي ٿو.
جو ذريعو: opennet.ru
