ProHoster > බ්ලොග් > අන්තර්ජාල පුවත් > දත්ත කාන්දු වීමට සහ නැවත ලිවීමට තුඩු දෙන Git හි ඇති දුර්වලතා

දත්ත කාන්දු වීමට සහ නැවත ලිවීමට තුඩු දෙන Git හි ඇති දුර්වලතා

බෙදා හරින ලද මූලාශ්‍ර පාලන පද්ධතියේ Git 2.38.4, 2.37.6, 2.36.5, 2.35.7, 2.34.7, 2.33.7, 2.32.6, 2.31.7 සහ 2.30.8 නිවැරදි නිකුතු ප්‍රකාශයට පත් කර ඇත, ඒවා නිවැරදි කර ඇත. දුර්වලතා දෙකක් , දේශීය ක්ලෝනකරණය සහ "git apply" විධානය සඳහා ප්‍රශස්තකරණයට බලපායි. ඔබට Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD පිටු මත බෙදාහැරීම්වල පැකේජ යාවත්කාලීන නිකුත් කිරීම නිරීක්ෂණය කළ හැක. යාවත්කාලීනය ස්ථාපනය කිරීමට නොහැකි නම්, විශ්වාස නොකළ ගබඩාවල "--recurse-submodules" විකල්පය සමඟ "git clone" මෙහෙයුම සිදු කිරීමෙන් වැළකී සිටීමට සහ "git apply" සහ " භාවිතා කිරීමෙන් වැළකීම සඳහා විසඳුමක් ලෙස නිර්දේශ කෙරේ. git am" විශ්වාස නොකළ ගබඩාවල විධාන. කේතය.

  • CVE-2023-22490 අවදානම ක්ලෝන කරන ලද ගබඩාවක අන්තර්ගතය පාලනය කරන ප්‍රහාරකයෙකුට පරිශීලකයාගේ පද්ධතියේ සංවේදී දත්ත වෙත ප්‍රවේශය ලබා ගැනීමට ඉඩ සලසයි. දුර්වලතා මතුවීමට අඩුපාඩු දෙකක් දායක වේ:

    පළමු දෝෂය, විශේෂයෙන් නිර්මාණය කරන ලද ගබඩාවක් සමඟ වැඩ කරන විට, බාහිර පද්ධති සමඟ අන්තර්ක්‍රියා කරන ප්‍රවාහනයක් භාවිතා කරන විට පවා දේශීය ක්ලෝන ප්‍රශස්තකරණයන් භාවිතා කිරීමට ඉඩ සලසයි.

    දෙවන දෝෂය $GIT_DIR/objects නාමාවලිය වෙනුවට සංකේතාත්මක සබැඳියක් ස්ථානගත කිරීමට ඉඩ සලසයි, අවදානම CVE-2022-39253 ට සමාන, $GIT_DIR/objects නාමාවලියෙහි සංකේතාත්මක සබැඳි ස්ථානගත කිරීම අවහිර කළ නමුත් එය සිදු කළේ නැත. $GIT_DIR/objects නාමාවලියම සංකේතාත්මක සබැඳියක් විය හැකිදැයි පරීක්ෂා කරන්න.

    දේශීය ක්ලෝනකරණ ප්‍රකාරයේදී, සිම්ලින්ක් ඉවත් කිරීමෙන් git විසින් $GIT_DIR/වස්තු ඉලක්ක නාමාවලිය වෙත මාරු කරයි, එමඟින් සෘජුවම යොමු කරන ලද ගොනු ඉලක්ක නාමාවලියට පිටපත් කිරීමට හේතු වේ. දේශීය නොවන ප්‍රවාහනය සඳහා දේශීය ක්ලෝනකරණ ප්‍රශස්තකරණයන් භාවිතා කිරීමට මාරුවීම බාහිර ගබඩාවන් සමඟ වැඩ කිරීමේදී ඇති වන අවදානම් සූරාකෑමට ඉඩ සලසයි (උදාහරණයක් ලෙස, “git clone —recurse-submodules” විධානය සහිත උපමොඩියුල පුනරාවර්තන ලෙස ඇතුළත් කිරීම උප මොඩියුලයක් ලෙස ඇසුරුම් කර ඇති අනිෂ්ට ගබඩාවක් ක්ලෝන කිරීමට හේතු විය හැක. වෙනත් ගබඩාවක).

  • Vulnerability CVE-2023-23946 මඟින් "git apply" විධානය වෙත විශේෂයෙන් සකස් කරන ලද ආදානය ලබා දීමෙන් වැඩ කරන නාමාවලියෙන් පිටත ගොනු වල අන්තර්ගතය උඩින් ලිවීමට ඉඩ සලසයි. උදාහරණයක් ලෙස, "git apply" හි ප්‍රහාරකයෙකු විසින් සකස් කරන ලද පැච් සැකසීමේදී ප්‍රහාරයක් සිදු කළ හැකිය. වැඩ කරන පිටපතෙන් පිටත ගොනු සෑදීමෙන් පැච් අවහිර කිරීම සඳහා, "git apply" මඟින් symlinks භාවිතයෙන් ගොනුවක් ලිවීමට උත්සාහ කරන පැච් සැකසීම අවහිර කරයි. නමුත් පළමු ස්ථානයේ සංකේතාත්මක සබැඳියක් නිර්මාණය කිරීමෙන් මෙම ආරක්ෂාව මඟ හැරිය හැකි බව පෙනී යයි.

මූලාශ්රය: opennet.ru

අදහස් එක් කරන්න