ورهايل ماخذ ڪنٽرول سسٽم جي اصلاحي رليز Git 2.40.1، 2.39.3، 2.38.5، 2.37.7، 2.36.6، 2.35.8، 2.34.8، 2.33.8، 2.32.7، 2.31.8 ۽ آهن. شايع ڪيو ويو آهي .2.30.9، جنهن کي مقرر ڪيو ويو پنج ڪمزورين توهان Debian، Ubuntu، RHEL، SUSE/openSUSE، Fedora، Arch، FreeBSD صفحن تي تقسيم ۾ پيڪيج جي تازه ڪاري جاري ڪرڻ جي پيروي ڪري سگهو ٿا. ڪمزورين کان بچاءَ لاءِ ڪم ڪار جي طور تي، اها سفارش ڪئي وئي آهي ته ”git apply --reject“ ڪمانڊ کي هلائڻ کان پاسو ڪيو وڃي جڏهن اڻ ٽيسٽ ٿيل خارجي پيچس سان ڪم ڪيو وڃي، ۽ "git submodule deinit"، "git" کي هلائڻ کان اڳ $GIT_DIR/config جي مواد کي چيڪ ڪريو. config --rename-section" ۽ "git config --remove-section" جڏهن ناقابل اعتماد ذخيرو سان معاملو ڪيو وڃي.
Vulnerability CVE-2023-29007 $GIT_DIR/config ترتيب واري فائل ۾ سيٽنگن جي متبادل جي اجازت ڏئي ٿي، جيڪا core.pager، core.editor ۽ core.sshCommand هدايتن ۾ ايگزيڪيوٽيبل فائلن جا رستا بيان ڪندي سسٽم ۾ ڪوڊ کي ايگزيڪيوٽو ڪرڻ لاءِ استعمال ڪري سگھجي ٿي. ڪمزوري هڪ منطقي غلطي جي ڪري آهي جنهن جي ڪري تمام ڊگھي ترتيب واري قدرن کي نئين سيڪشن جي شروعات جي طور تي علاج ڪري سگهجي ٿو جڏهن هڪ سيڪشن جو نالو تبديل ڪرڻ يا ترتيب ڏيڻ واري فائل مان حذف ڪيو وڃي ٿو. عملي طور تي، استحصالي قدرن جي متبادل حاصل ڪري سگھجي ٿي تمام ڊگھي ذيلي ماڊل URLs جي وضاحت ڪندي جيڪي $GIT_DIR/config فائل ۾ محفوظ ٿيل آھن شروعات دوران. اهي URLs نئين سيٽنگن جي طور تي تشريح ڪري سگھجن ٿيون جڏهن انهن کي هٽائڻ جي ڪوشش ڪندي "git submodule deinit" ذريعي.
Vulnerability CVE-2023-25652 ڪم ڪندڙ وڻ کان ٻاهر فائلن جي مواد کي اوور رائٽنگ ڪرڻ جي اجازت ڏئي ٿي جڏهن خاص طور تي ٺاهيل پيچس کي "git apply --reject" حڪم سان پروسيس ڪيو ويندو آهي. جيڪڏهن توهان هڪ خراب پيچ تي عمل ڪرڻ جي ڪوشش ڪريو "git apply" حڪم سان جيڪو هڪ علامتي لنڪ ذريعي فائل تي لکڻ جي ڪوشش ڪري ٿو، آپريشن رد ڪيو ويندو. Git 2.39.1 ۾، سملنڪ مينيپوليشن تحفظ کي وڌايو ويو آهي بلاڪ پيچس جيڪي سملنڪس ٺاهي ۽ انهن ذريعي لکڻ جي ڪوشش ڪن. غور هيٺ آيل ڪمزوري جو خلاصو اهو آهي ته گٽ ان ڳالهه کي ذهن ۾ نه رکيو آهي ته صارف پيچ جي رد ٿيل حصن کي لکڻ لاءِ ”git apply -reject“ حڪم جاري ڪري سگهي ٿو جيئن ”.rej“ ايڪسٽينشن سان فائلن جي طور تي، ۽ حملو ڪندڙ ڪري سگهي ٿو. هي موقعو استعمال ڪريو مواد لکڻ لاءِ هڪ صوابديدي ڊاريڪٽري ۾، جيستائين موجوده اجازتون ان کي اجازت ڏين ٿيون.
ان کان علاوه، ٽي ڪمزوريون جيڪي ظاهر ٿين ٿيون صرف ونڊوز پليٽ فارم تي مقرر ڪيون ويون آهن: CVE-2023-29012 (ڳولا ڪريو executable doskey.exe repository جي ڪم ڪندڙ ڊاريڪٽري ۾ جڏهن "Git CMD" ڪمانڊ تي عمل ڪيو وڃي، جيڪو توهان کي منظم ڪرڻ جي اجازت ڏئي ٿو. استعمال ڪندڙ جي سسٽم تي توهان جي ڪوڊ جو عمل، CVE-2023 -25815 (بفر اوور فلو جڏهن ته ڪسٽم لوڪلائيزيشن فائلن کي پروسيس ڪندي Gettext ۾) ۽ CVE-2023-29011 (SOCKS5 ذريعي ڪم ڪرڻ دوران connect.exe فائل کي متبادل ڪرڻ جو امڪان).
جو ذريعو: opennet.ru