දුර්වලතා 8ක් සමඟින් Git යාවත්කාලීන කිරීම නිරාකරණය කර ඇත

ප්‍රකාශනය කරන ලදී බෙදා හරින ලද මූලාශ්‍ර පාලන පද්ධතියේ නිවැරදි නිකුතු Git 2.24.1, 2.23.1, 2.22.2, 2.21.1, 2.20.2, 2.19.3, 2.18.2, 2.17.3, 2.16.6, 2.15.4 සහ 2.14.62.24.1 XNUMX, ප්‍රහාරකයෙකුට ගොනු පද්ධතියේ අත්තනෝමතික මාර්ග නැවත ලිවීමට, දුරස්ථ කේත ක්‍රියාත්මක කිරීම සංවිධානය කිරීමට හෝ “.git/” බහලුම තුළ ගොනු උඩින් ලිවීමට ඉඩ සලසන දුර්වලතා නිරාකරණය කරන ලදී. සේවකයින් විසින් හඳුනාගත් බොහෝ ගැටළු
මයික්‍රොසොෆ්ට් ආරක්ෂක ප්‍රතිචාර මධ්‍යස්ථානය, දුර්වලතා අටෙන් පහක් වින්ඩෝස් වේදිකාවට විශේෂිත වේ.

• CVE-2019-1348 — ප්‍රවාහ විධානය “feature export-marks=path”එය ඉඩ අත්තනෝමතික නාමාවලි වෙත ලේබල් ලියන්න, එය පරීක්ෂා නොකළ ආදාන දත්ත සමඟ "git fast-import" මෙහෙයුමක් සිදු කරන විට ගොනු පද්ධතිය තුළ අත්තනෝමතික මාර්ග නැවත ලිවීමට භාවිතා කළ හැක.
• CVE-2019-1350 - විධාන රේඛා තර්ක වලින් වැරදි ගැලවීම නායකත්වය දිය හැකිය ssh:// URL භාවිතයෙන් පුනරාවර්තන ක්ලෝනීකරණයේදී ප්‍රහාරක කේතය දුරස්ථව ක්‍රියාත්මක කිරීමට. විශේෂයෙන්ම, පසුබෑමකින් අවසන් වන තර්ක පැනවීම (උදාහරණයක් ලෙස, "පරීක්ෂණ \") වැරදි ලෙස හසුරුවා ඇත. මෙම අවස්ථාවෙහිදී, ද්විත්ව උපුටා දැක්වීම් සමඟ තර්කයක් සැකසීමේදී, අවසාන උද්ධෘතය ගැලවී ගිය අතර, එමඟින් විධාන රේඛාවේ ඔබේ විකල්ප ආදේශ කිරීම සංවිධානය කිරීමට හැකි විය.
• CVE-2019-1349 — යම් යම් කොන්දේසි යටතේ වින්ඩෝස් පරිසරය තුළ උප මොඩියුල (“ක්ලෝන —ප්‍රත්‍යාවර්ත-උපමොඩියුල”) ප්‍රත්‍යාවර්තීව ක්ලෝන කරන විට එය විය හැක එකම git බහලුම දෙවරක් භාවිතා කිරීම අවුලුවන්න (.git, git~1, git~2 සහ git~N NTFS හි එක් නාමාවලියක් ලෙස හඳුනාගෙන ඇත, නමුත් මෙම තත්ත්වය පරීක්ෂා කර ඇත්තේ git~1 සඳහා පමණි), එය සංවිධානය කිරීමට භාවිතා කළ හැක. ". git" නාමාවලියට ලිවීම. ඔහුගේ කේතය ක්‍රියාත්මක කිරීම සංවිධානය කිරීම සඳහා, ප්‍රහාරකයෙකුට, උදාහරණයක් ලෙස, .git/config ගොනුවේ ඇති පසු පිරික්සුම් හසුරුව හරහා ඔහුගේ ස්ක්‍රිප්ටය ආදේශ කළ හැක.
• CVE-2019-1351 — “C:\” වැනි මාර්ග පරිවර්ථනය කිරීමේදී වින්ඩෝස් මාර්ගවල අකුරු ධාවක නම් සඳහා හසුරුවන්නා නිර්මාණය කර ඇත්තේ තනි අකුරු ලතින් හඳුනාගැනීම් ප්‍රතිස්ථාපනය කිරීමට පමණක් වන නමුත්, “subst letter:path” හරහා පවරා ඇති අතථ්‍ය ධාවක සෑදීමේ හැකියාව සැලකිල්ලට නොගත්තේය. . එවැනි මාර්ග නිරපේක්ෂ ලෙස නොව සාපේක්ෂ මාර්ග ලෙස සලකනු ලැබූ අතර, එය අනිෂ්ට ගබඩාවක් ක්ලෝන කිරීමේදී වැඩ කරන නාමාවලි ගසෙන් පිටත අත්තනෝමතික නාමාවලියක වාර්තාවක් සංවිධානය කිරීමට හැකි විය (උදාහරණයක් ලෙස, තැටියේ අංක හෝ යුනිකෝඩ් අක්ෂර භාවිතා කරන විට. නම - “1:\what\the\ hex.txt" හෝ "ä:\tchibät.sch").
• CVE-2019-1352 - වින්ඩෝස් වේදිකාවේ වැඩ කරන විට, NTFS හි විකල්ප දත්ත ප්‍රවාහයන් භාවිතා කිරීම, ගොනු නාමයට ":stream-name:stream-type" ගුණාංගය එකතු කිරීමෙන් නිර්මාණය කර ඇත, අවසර අනිෂ්ට ගබඩාවක් ක්ලෝන කරන විට ".git/" බහලුම තුළ ගොනු උඩින් ලියන්න. උදාහරණයක් ලෙස, NTFS හි ".git::$INDEX_ALLOCATION" යන නම ".git" නාමාවලියට වලංගු සබැඳියක් ලෙස සලකනු ලැබේ.
• CVE-2019-1353 - WSL (ලිනක්ස් සඳහා වින්ඩෝස් උපපද්ධතිය) පරිසරයක Git භාවිතා කරන විට වැඩ කරන නාමාවලියට පිවිසීමේදී භාවිතා නොකරනලද NTFS හි නම හැසිරවීමට එරෙහිව ආරක්ෂාව (FAT නාම පරිවර්තනය හරහා ප්‍රහාර එල්ල කළ හැකිය, උදාහරණයක් ලෙස, ".git" "git~1" නාමාවලිය හරහා ප්‍රවේශ විය හැක).
• CVE-2019-1354 -
  අවස්ථාව Unix/Linux හි පිළිගත හැකි නමුත්, එහි කොටසක් ලෙස පිළිගනු ලබන (උදාහරණයක් ලෙස, "a\b") නමින් backslash සහිත ගොනු අඩංගු අනිෂ්ට ගබඩාවන් ක්ලෝන කරන විට Windows වේදිකාවේ ".git/" බහලුම වෙත ලියයි. වින්ඩෝස් මත මාර්ගය.

• CVE-2019-1387 - ඉලක්කගත ප්‍රහාර සංවිධානය කිරීම සඳහා උප මොඩියුල නාම ප්‍රමාණවත් ලෙස පරීක්ෂා නොකිරීම භාවිතා කළ හැකි අතර, පුනරාවර්තන ලෙස ක්ලෝන කළහොත්, විභව විය හැකිය නායකත්වය දිය හැකිය ප්‍රහාරකයාගේ කේතය ක්‍රියාත්මක කිරීමට. Git වෙනත් උපමොඩියුලයක නාමාවලියක් තුළ උප මොඩියුල නාමාවලියක් නිර්මාණය කිරීම වැළැක්වූයේ නැත, එය බොහෝ අවස්ථාවලදී ව්‍යාකූලත්වයට හේතු වනු ඇත, නමුත් පුනරාවර්තන ක්ලෝනකරණ ක්‍රියාවලියේදී වෙනත් මොඩියුලයක අන්තර්ගතය නැවත ලිවීමෙන් වැළැක්විය නොහැක (උදාහරණයක් ලෙස, උප මොඩියුල නාමාවලි. "hippo" සහ "hippo/hooks" " .git/modules/hippo/" සහ ".git/modules/hippo/hooks/" ලෙස තැන්පත් කර ඇති අතර, hippo හි ඇති කොකු නාමාවලිය ප්‍රේරක කොකු සත්කාරක කිරීමට වෙන වෙනම භාවිතා කළ හැක.

වින්ඩෝස් පරිශීලකයින්ට ඔවුන්ගේ Git අනුවාදය වහාම යාවත්කාලීන කරන ලෙසත්, යාවත්කාලීන වන තෙක් සත්‍යාපනය නොකළ ගබඩා ක්ලෝන කිරීමෙන් වළකින ලෙසත් උපදෙස් දෙනු ලැබේ. Git අනුවාදය ඉක්මනින් යාවත්කාලීන කිරීමට තවමත් නොහැකි නම්, ප්‍රහාරයේ අවදානම අවම කිරීම සඳහා, “git clone —recurse-submodules” සහ “git submodule update” නොසලකන ලද repositories සමඟ ධාවනය නොකිරීමට, “git” භාවිතා නොකිරීමට නිර්දේශ කෙරේ. NTFS මත පදනම් වූ කොටස් වෙත නිධි නිධි ක්ලෝන කිරීමට නොව, පරීක්ෂා නොකළ ආදාන ප්‍රවාහ සමඟ වේගවත්-ආනයනය කරන්න.

අමතර ආරක්ෂාව සඳහා, නව නිකුතු මඟින් .gitmodules හි "submodule.{name}.update=!command" ආකෘතියේ ඉදිකිරීම් භාවිතය ද තහනම් කරයි. බෙදාහැරීම් සඳහා, ඔබට පිටු මත පැකේජ යාවත්කාලීන නිකුත් කිරීම නිරීක්ෂණය කළ හැක ඩේබියන්,උබුන්ටු, රාල්, SUSE/openSUSE, Fedora, ආක්, ALT, FreeBSD.

මූලාශ්රය: opennet.ru