බෙදා හරින ලද මූලාශ්ර පාලන පද්ධතියේ නිවැරදි නිකුතු Git 2.40.1, 2.39.3, 2.38.5, 2.37.7, 2.36.6, 2.35.8, 2.34.8, 2.33.8, 2.32.7, 2.31.8 සහ 2.30.9 සහ .XNUMX ප්රකාශයට පත් කර ඇති අතර, එහි දුර්වලතා පහක් ඉවත් කරන ලදී. ඔබට Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD පිටු මත බෙදාහැරීම්වල පැකේජ යාවත්කාලීන නිකුත් කිරීම නිරීක්ෂණය කළ හැක. අවදානම් වලින් ආරක්ෂා වීමට පිළියම් ලෙස, පරීක්ෂා නොකළ බාහිර පැච් සමඟ වැඩ කිරීමේදී "git apply --reject" විධානය ක්රියාත්මක කිරීමෙන් වැළකී සිටීම සහ "git submodule deinit", "git ධාවනය කිරීමට පෙර $GIT_DIR/config හි අන්තර්ගතය පරීක්ෂා කිරීම නිර්දේශ කෙරේ. config --rename-section" සහ " git config --remove-section" විශ්වාස නොකළ ගබඩා සමඟ වැඩ කරන විට.
CVE-2023-29007 දුර්වලතාවය $GIT_DIR/config වින්යාස ගොනුවේ සිටුවම් ආදේශ කිරීමට ඉඩ සලසයි, core.pager, core.editor සහ core.sshCommand විධානයන් තුළ ක්රියාත්මක කළ හැකි ගොනු වෙත මාර්ග සඳහන් කිරීමෙන් පද්ධතිය මත කේතය ක්රියාත්මක කිරීමට භාවිතා කළ හැක. . වින්යාස ගොනුවකින් කොටසක නැවත නම් කිරීම හෝ මකා දැමීමේ මෙහෙයුම් සිදු කරන විට ඉතා දිගු වින්යාස අගයන් නව කොටසක ආරම්භය ලෙස සැලකීමට හේතු විය හැකි තාර්කික දෝෂයක් හේතුවෙන් අවදානමට ලක් වේ. ප්රායෝගිකව, ආරම්භයේදී $GIT_DIR/config ගොනුව වෙත සුරකින උපමොඩියුලවල ඉතා දිගු URL නියම කිරීමෙන් අවදානම් ප්රයෝජනයට ගන්නා අගයන් ආදේශ කිරීම ලබා ගත හැක. "git submodule deinit" හරහා ඒවා ඉවත් කිරීමට උත්සාහ කරන විට මෙම URL නව සැකසුම් ලෙස අර්ථ දැක්විය හැක.
Vulnerability CVE-2023-25652 "git apply -reject" විධානය සමඟින් විශේෂයෙන් නිර්මාණය කරන ලද පැච් සැකසීමේදී වැඩ කරන ගසෙන් පිටත ගොනු වල අන්තර්ගතය නැවත ලිවීමට ඉඩ සලසයි. සංකේතාත්මක සබැඳියක් හරහා ගොනුවකට ලිවීමට උත්සාහ කරන "git apply" විධානය සමඟ අනිෂ්ට පැච් එකක් ක්රියාත්මක කිරීමට ඔබ උත්සාහ කරන්නේ නම්, මෙහෙයුම ප්රතික්ෂේප කරනු ලැබේ. Git 2.39.1 හි, symlink උපාමාරු වලට එරෙහි ආරක්ෂාව symlinks නිර්මාණය කරන සහ ඒවා හරහා ලිවීමට උත්සාහ කරන පැච් අවහිර කිරීමට පුළුල් කර ඇත. ප්රශ්නගත අවදානමේ සාරය නම්, “.rej” දිගුව සමඟින් පැච් එකේ ප්රතික්ෂේප වූ කොටස් ගොනු ලෙස ලිවීමට පරිශීලකයාට “git apply –reject” විධානය ක්රියාත්මක කළ හැකි බව Git සැලකිල්ලට නොගැනීම සහ ප්රහාරකයාට භාවිතා කළ හැකි බවයි. වර්තමාන ප්රවේශ අයිතිවාසිකම් මෙයට ඉඩ දෙන තාක් දුරට, අත්තනෝමතික නාමාවලියකට අන්තර්ගතය ලිවීමට මෙම විශේෂාංගය.
මීට අමතරව, වින්ඩෝස් වේදිකාවේ පමණක් දිස්වන දුර්වලතා තුනක් සවි කර ඇත: CVE-2023-29012 ("Git CMD" විධානය ක්රියාත්මක කිරීමේදී ගබඩාවේ වැඩ කරන නාමාවලියෙහි ක්රියාත්මක කළ හැකි doskey.exe සඳහා සොයන්න, එමඟින් ඔබට සංවිධානය කිරීමට ඉඩ සලසයි පරිශීලකයාගේ පද්ධතිය මත ඔබගේ කේතය ක්රියාත්මක කිරීම), CVE-2023 -25815 (Gettext හි විශේෂයෙන් ෆෝමැට් කරන ලද දේශීයකරණ ගොනු සැකසීමේදී බෆර පිටාර ගැලීම) සහ CVE-2023-29011 (SOCKS5 හරහා වැඩ කරන විට connect.exe ගොනුව වංචා කිරීමේ හැකියාව).
මූලාශ්රය: opennet.ru