Git (CVE-2021-29468) ۾ هڪ نازڪ خطري جي نشاندهي ڪئي وئي آهي، جيڪا صرف تڏهن ظاهر ٿئي ٿي جڏهن سائگون ماحول لاءِ تعمير ڪيو وڃي (ونڊوز تي بنيادي لينڪس API کي نقل ڪرڻ لاءِ لائبريري ۽ ونڊوز لاءِ معياري لينڪس پروگرامن جو هڪ سيٽ). خطري جي اجازت ڏئي ٿي حملي ڪندڙ ڪوڊ تي عمل ڪيو وڃي جڏهن ڊيٽا کي ٻيهر حاصل ڪيو وڃي ("گٽ چيڪ آئوٽ") حملي ڪندڙ طرفان ڪنٽرول ڪيل مخزن مان. مسئلو حل ڪيو ويو آهي گٽ 2.31.1-2 پيڪيج ۾ Cygwin لاءِ. مکيه گٽ پروجيڪٽ ۾، مسئلو اڃا تائين حل نه ڪيو ويو آهي (اهو ممڪن ناهي ته ڪو ماڻهو پنهنجي هٿن سان سائگون لاء گٽ تعمير ڪري رهيو آهي، بلڪه تيار ڪيل پيڪيج استعمال ڪرڻ جي بدران).
سائگون جي ماحول جي پروسيسنگ جي ڪري ماحول کي ونڊوز جي بجاءِ يونڪس جھڙو نظام بڻايو ويو آهي، جنهن جي نتيجي ۾ واٽ ۾ '\' ڪردار جي استعمال تي ڪا به پابندي ناهي، جڏهن ته سائگون ۾، ونڊوز وانگر، هي ڪردار ٿي سگهي ٿو. ڊائريڪٽرن کي الڳ ڪرڻ لاء استعمال ڪيو ويو. نتيجي طور، هڪ خاص طور تي تبديل ٿيل مخزن ٺاهڻ سان علامتي لنڪس ۽ فائلن تي مشتمل هڪ بيڪ سليش ڪردار سان، اهو ممڪن آهي ته ثالثي فائلن کي اوور رائٽ ڪرڻ جڏهن هن مخزن کي سائگون ۾ لوڊ ڪيو وڃي (هڪ ساڳيو نقصان Git for Windows ۾ 2019 ۾ طئي ڪيو ويو هو). فائلن کي اوور رائٽ ڪرڻ جي صلاحيت حاصل ڪرڻ سان، هڪ حملو ڪندڙ گٽ ۾ ٿلهي ڪالن کي اوور رائيڊ ڪري سگهي ٿو ۽ سسٽم تي صوابديدي ڪوڊ کي عمل ۾ آڻي سگھي ٿو.
جو ذريعو: opennet.ru