ورهايل ماخذ ڪنٽرول سسٽم جي اصلاحي ريليز Git 2.35.2، 2.30.3، 2.31.2، 2.32.1، 2.33.2 ۽ 2.34.2 شايع ڪيا ويا آهن، جن ۾ ٻه نقصانات مقرر ڪيا ويا آهن:
- CVE-2022-24765 - هڪ حملي جي نشاندهي ڪئي وئي آهي ملٽي يوزر سسٽم تي شيئر ڊاريڪٽري سان جيڪا ڪنهن ٻئي استعمال ڪندڙ پاران بيان ڪيل حڪمن تي عمل ڪرڻ جو سبب بڻجي سگهي ٿي. هڪ حملو ڪندڙ انهن هنڌن تي هڪ ".git" ڊاريڪٽري ٺاهي سگھي ٿو جيڪي ٻين استعمال ڪندڙن سان گڏ ڪن ٿيون (مثال طور، حصيداري ڊائريڪٽرن ۾ يا عارضي فائلن سان ڊائريڪٽرن ۾) ۽ ان ۾ هڪ ".git/config" ترتيب واري فائيل رکي ٿو ان ۾ هينڊلر جي ترتيب سان. سڏيو ويندو آهي جڏهن ڪجهه ڪمن تي عمل ڪيو ويندو آهي. git ڪمانڊ (مثال طور، توهان ڪوڊ جي عمل کي منظم ڪرڻ لاء core.fsmonitor پيٽرولر استعمال ڪري سگهو ٿا).
".git/config" ۾ بيان ڪيل هينڊلر کي مختلف استعمال ڪندڙ سڏيو ويندو جيڪڏهن اهو صارف گٽ تائين رسائي حاصل ڪري ڊاريڪٽري ۾ ".git" سب ڊاريڪٽري کان وڌيڪ حملي ڪندڙ پاران ٺاهيل. ڪال شامل ڪري سگھجن ٿيون اڻ سڌي طرح، مثال طور، جڏھن ڪوڊ ايڊيٽر استعمال ڪندي گٽ سپورٽ سان، جھڙوڪ VS ڪوڊ ۽ ائٽم، يا جڏھن اڊ-آن استعمال ڪندا آھن جيڪي ”گٽ اسٽيٽس“ کي ٽاريندا آھن (مثال طور، Git Bash يا posh-git). نسخي Git 2.35.2 ۾، هيٺئين ڊاريڪٽري ۾ ".git" جي ڳولا جي منطق ۾ تبديلين جي ذريعي نقصان کي روڪيو ويو (".git" ڊاريڪٽري هاڻي نظر انداز ڪئي وئي آهي جيڪڏهن اهو ڪنهن ٻئي صارف سان تعلق رکي ٿو).
- CVE-2022-24767 هڪ ونڊوز پليٽ فارم لاءِ مخصوص نقصانڪار آهي جيڪو ڪوڊ کي سسٽم استحقاق سان عمل ڪرڻ جي اجازت ڏئي ٿو جڏهن Git for Windows جي Uninstall آپريشن کي هلائي رهيو آهي. مسئلو هڪ عارضي ڊاريڪٽري ۾ هلندڙ انسٽالر جي ڪري آهي جيڪو سسٽم استعمال ڪندڙن طرفان لکڻ جي قابل آهي. حملي کي عارضي ڊاريڪٽري ۾ متبادل ڊي ايل ايل کي رکڻ سان ڪيو ويندو آهي، جيڪو لوڊ ڪيو ويندو جڏهن انسٽالر سسٽم حقن سان هلائي ويندي.
جو ذريعو: opennet.ru