ورهايل ماخذ ڪنٽرول سسٽم جي اصلاحي رليز Git 2.38.4، 2.37.6، 2.36.5، 2.35.7، 2.34.7، 2.33.7، 2.32.6، 2.31.7 ۽ 2.30.8 شايع ڪيا ويا آهن، جيڪي درست ڪن ٿا. ٻه ڪمزوريون، مقامي ڪلوننگ لاءِ اصلاحن کي متاثر ڪندي ۽ ”گٽ لاڳو“ ڪمانڊ. توھان ٽريڪ ڪري سگھوٿا پيڪيج اپڊيٽ جي رليز کي تقسيم ۾ ڊيبين، Ubuntu، RHEL، SUSE/openSUSE، Fedora، Arch، FreeBSD جي صفحن تي. جيڪڏهن اپڊيٽ کي انسٽال ڪرڻ ممڪن نه آهي، اها سفارش ڪئي وئي آهي ته "گٽ کلون" آپريشن کي انجام ڏيڻ کان بچڻ لاءِ "--recurse-submodules" اختيار سان گڏ ناقابل اعتماد ريپوزٽريز تي، ۽ استعمال ڪرڻ کان بچڻ لاء "گٽ لاڳو ڪريو" ۽ " git am" ناقابل اعتماد ذخيرو تي حڪم. ڪوڊ.
- CVE-2023-22490 نقصانڪار هڪ حملي آور کي اجازت ڏئي ٿو جيڪو ڪلون ٿيل مخزن جي مواد کي ڪنٽرول ڪري ٿو صارف جي سسٽم تي حساس ڊيٽا تائين رسائي حاصل ڪرڻ لاءِ. ٻه ڪمزوريون ڪمزوريءَ جي پيدا ٿيڻ ۾ مدد ڪن ٿيون:
پهريون نقص اجازت ڏئي ٿو، جڏهن خاص طور تي ٺهيل ذخيرو سان ڪم ڪري، مقامي ڪلوننگ جي اصلاحن جي استعمال کي حاصل ڪرڻ جي اجازت ڏئي ٿي، جيتوڻيڪ جڏهن ٽرانسپورٽ استعمال ڪندي جيڪا ٻاهرين سسٽم سان رابطو ڪري ٿي.
ٻيو نقص $GIT_DIR/objects ڊاريڪٽري جي بجاءِ علامتي لنڪ جي جڳھ جي اجازت ڏئي ٿو، ويجهڙائي واري CVE-2022-39253 سان ملندڙ جلندڙ، جنهن لاءِ درست ڪيو ويو $GIT_DIR/objects ڊاريڪٽري ۾ علامتي لنڪ جي جڳھ کي بلاڪ ڪيو، پر نه ڪيو حقيقت کي چيڪ ڪريو ته $GIT_DIR/objects ڊاريڪٽري پاڻ هڪ علامتي لنڪ ٿي سگهي ٿي.
مقامي ڪلوننگ موڊ ۾، گيٽ $GIT_DIR/آبجڪس کي ٽارگيٽ ڊاريڪٽري ڏانهن منتقل ڪري ٿو سملنڪس جي حوالي سان، جيڪو سڌي طرح حوالو ڪيل فائلن کي ٽارگيٽ ڊاريڪٽري ڏانهن نقل ڪري ٿو. غير مقامي ٽرانسپورٽ لاءِ مقامي ڪلوننگ آپٽمائيزيشنز کي استعمال ڪرڻ جي اجازت ڏئي ٿي ڪمزورين جي استحصال جي جڏهن خارجي ذخيرن سان ڪم ڪيو وڃي (مثال طور، بار بار ڪمانڊ سان گڏ ذيلي ماڊلز کي شامل ڪري ”گٽ ڪلون —ريڪرس-سب ماڊل“ هڪ ذيلي ماڊل جي طور تي پيڪيج ٿيل بدڪاري واري ذخيري جي ڪلوننگ ڪري سگهي ٿو. ٻئي مخزن ۾).
- Vulnerability CVE-2023-23946 فائلن جي مواد کي ڪم ڪرڻ واري ڊاريڪٽري کان ٻاهر اوور رائٽ ڪرڻ جي اجازت ڏئي ٿي خاص طور تي تيار ڪيل ان پٽ کي "گٽ لاڳو" ڪمانڊ ڏانهن منتقل ڪندي. مثال طور، هڪ حملو ڪري سگهجي ٿو پيچ جي پروسيسنگ دوران هڪ حملي ڪندڙ پاران تيار ڪيل "گٽ لاڳو" ۾. پيچز کي ڪم ڪرڻ واري ڪاپي کان ٻاهر فائلون ٺاهڻ کان بلاڪ ڪرڻ لاء، "git apply" پيچ جي پروسيسنگ کي بلاڪ ڪري ٿو جيڪي symlinks استعمال ڪندي فائل لکڻ جي ڪوشش ڪندا آهن. پر اهو ظاهر ٿئي ٿو ته هي تحفظ پهرين جڳهه ۾ هڪ علامتي لنڪ ٺاهي ذريعي ختم ڪري سگهجي ٿو.
جو ذريعو: opennet.ru