ProHoster > බ්ලොග් > අන්තර්ජාල පුවත් > උප මොඩියුල ක්ලෝන කිරීමේදී සහ git shell භාවිතා කිරීමේදී Git හි ඇති දුර්වලතා

උප මොඩියුල ක්ලෝන කිරීමේදී සහ git shell භාවිතා කිරීමේදී Git හි ඇති දුර්වලතා

බෙදා හරින ලද මූලාශ්‍ර පාලන පද්ධතියේ Git 2.38.1, 2.30.6, 2.31.5, 2.32.4, 2.33.5, 2.34.5, 2.35.5, 2.36.3 සහ 2.37.4 නිවැරදි නිකුතු ප්‍රකාශයට පත් කර ඇත, ඒවා නිවැරදි කර ඇත. අනාරක්‍ෂිතතා දෙකක් , "-recurse-submodules" මාදිලියේ "-recurse-submodules" ප්‍රකාරයේදී "git clone" විධානය භාවිතා කරන විට සහ "git shell" අන්තර්ක්‍රියාකාරී මාදිලිය භාවිතා කරන විට දිස්වේ. ඔබට Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD පිටු මත බෙදාහැරීම්වල පැකේජ යාවත්කාලීන නිකුත් කිරීම නිරීක්ෂණය කළ හැක.

  • CVE-2022-39253 - ක්ලෝන කරන ලද ගබඩාවේ අන්තර්ගතය පාලනය කරන ප්‍රහාරකයෙකුට ක්ලෝන කරන ලද ගබඩාවේ $GIT_DIR/objects නාමාවලියෙහි උනන්දුවක් දක්වන ලිපිගොනු වෙත සංකේතාත්මක සබැඳි තැබීමෙන් පරිශීලකයාගේ පද්ධතියේ රහස්‍ය දත්ත වෙත ප්‍රවේශය ලබා ගැනීමට අවදානමට ඉඩ සලසයි. ගැටළුව දිස්වන්නේ දේශීයව ක්ලෝන කරන විට ("--local" මාදිලියේදී, ක්ලෝනයේ ඉලක්ක සහ මූලාශ්‍ර දත්ත එකම කොටසක ඇති විට භාවිතා වේ) හෝ වෙනත් ගබඩාවක උප මොඩියුලයක් ලෙස ඇසුරුම් කර ඇති අනිෂ්ට ගබඩාවක් ක්ලෝන කරන විට පමණි (උදාහරණයක් ලෙස, "git clone" විධානය --recurse-submodules" සමඟ උපමොඩියුල පුනරාවර්තන ලෙස ඇතුලත් කරන විට).

    අවදානමට හේතු වී ඇත්තේ “--දේශීය” ක්ලෝනකරණ මාදිලියේදී, git විසින් $GIT_DIR/වස්තු වල අන්තර්ගතය ඉලක්ක නාමාවලියට මාරු කිරීම (දෘඩ සබැඳි හෝ ගොනු පිටපත් සෑදීම), සංකේතාත්මක සබැඳි (එනම්, ලෙස) ප්රතිඵලයක් වශයෙන්, සංකේතාත්මක නොවන සබැඳි ඉලක්ක නාමාවලියට පිටපත් කරනු ලැබේ, නමුත් සබැඳි යොමු කරන ගොනු සෘජුවම). අවදානම අවහිර කිරීම සඳහා, git හි නව නිකුතු $GIT_DIR/objects නාමාවලියෙහි සංකේතාත්මක සබැඳි අඩංගු “--local” මාදිලියේ ගබඩා ක්ලෝන කිරීම තහනම් කරයි. අතිරේකව, protocol.file.allow පරාමිතියෙහි පෙරනිමි අගය "පරිශීලක" ලෙස වෙනස් කර ඇත, එය file:// protocol භාවිතයෙන් ක්ලෝන කිරීමේ මෙහෙයුම් අනාරක්ෂිත කරයි.

  • CVE-2022-39260 - "git shell" විධානයේ භාවිතා වන split_cmdline() ශ්‍රිතයේ පූර්ණ සංඛ්‍යා පිටාර ගැලීම. "git shell" ඔවුන්ගේ පිවිසුම් කවචය ලෙස ඇති සහ අන්තර්ක්‍රියාකාරී මාදිලිය සක්‍රීය කර ඇති ($HOME/git-shell-commands ගොනුවක් නිර්මාණය කර ඇත) පරිශීලකයන්ට පහර දීමට මෙම ගැටලුව භාවිතා කළ හැක. ගිගාබයිට් 2 ට වඩා විශාල විධානයක් විශේෂයෙන් නිර්මාණය කරන ලද විධානයක් යැවීමේදී, දුර්වලතා උපයෝගී කර ගැනීම මඟින් පද්ධතියේ අත්තනෝමතික කේතය ක්‍රියාත්මක කිරීමට හේතු විය හැක.

මූලාශ්රය: opennet.ru

අදහස් එක් කරන්න