බෙදා හරින ලද මූලාශ්ර පාලන පද්ධතියේ නිවැරදි නිකුතු Git 2.35.2, 2.30.3, 2.31.2, 2.32.1, 2.33.2 සහ 2.34.2 ප්රකාශයට පත් කර ඇති අතර, එමඟින් දුර්වලතා දෙකක් විසඳා ඇත:
- CVE-2022-24765 - හවුල් නාමාවලි සහිත බහු-පරිශීලක පද්ධති මත, වෙනත් පරිශීලකයෙකු විසින් අර්ථ දක්වා ඇති විධානයන් ක්රියාත්මක කිරීමට තුඩු දිය හැකි ප්රහාරයක් හඳුනාගෙන ඇත. ප්රහාරකයෙකුට වෙනත් පරිශීලකයන් සමඟ අතිච්ඡාදනය වන ස්ථානවල “.git” නාමාවලියක් නිර්මාණය කළ හැකිය (උදාහරණයක් ලෙස, හවුල් නාමාවලි හෝ තාවකාලික ගොනු සහිත නාමාවලිවල) සහ “.git/config” වින්යාස ගොනුවක් එහි හැන්ඩ්ලර් වින්යාසය සමඟ තැබිය හැකිය. සමහර කාර්යයන් ක්රියාත්මක වේ git විධාන (උදාහරණයක් ලෙස, ඔබට core.fsmonitor පරාමිතිය භාවිතා කළ හැක කේත ක්රියාත්මක කිරීම සංවිධානය කිරීම).
“.git/config” හි නිර්වචනය කර ඇති හසුරුවන්නන් ප්රහාරකයා විසින් නිර්මාණය කරන ලද “.git” උප බහලුමට වඩා ඉහළ මට්ටමක පිහිටා ඇති ඩිරෙක්ටරියක එම පරිශීලකයා git භාවිතා කරන්නේ නම් වෙනත් පරිශීලකයෙකුගේ අයිතිවාසිකම් සමඟ කැඳවනු ලැබේ. ඇමතුම වක්රව සිදු කළ හැක, උදාහරණයක් ලෙස, VS Code සහ Atom වැනි git සඳහා සහය දක්වන කේත සංස්කාරක භාවිතා කරන විට හෝ "git තත්ත්වය" ධාවනය කරන ඇඩෝන භාවිතා කරන විට (උදාහරණයක් ලෙස, Git Bash හෝ posh-git). Git 2.35.2 හි, පාදක නාමාවලි තුළ ".git" සෙවීම සඳහා තර්කනය වෙනස් කිරීම හරහා අවදානම අවහිර කර ඇත (".git" බහලුම වෙනත් පරිශීලකයෙකුට අයිති නම් එය දැන් සැලකිල්ලට නොගනී).
- CVE-2022-24767 යනු වින්ඩෝස් වේදිකා-විශේෂිත අවදානමක් වන අතර එය වින්ඩෝස් වැඩසටහන සඳහා Git හි අස්ථාපනය කිරීමේ මෙහෙයුම ක්රියාත්මක කිරීමේදී SYSTEM වරප්රසාද සමඟ කේත ක්රියාත්මක කිරීමට ඉඩ සලසයි. පද්ධතිය භාවිතා කරන්නන් විසින් ලිවිය හැකි තාවකාලික ඩිරෙක්ටරියක අස්ථාපනය කරන්නා ක්රියාත්මක වීම නිසා ගැටළුව ඇතිවේ. ප්රහාරය සිදු කරනු ලබන්නේ ප්රතිස්ථාපන ඩීඑල්එල් තාවකාලික නාමාවලියක තැබීමෙනි, එය පද්ධති අයිතීන් සමඟ අස්ථාපනය කරන්නා දියත් කළ විට පටවනු ලැබේ.
මූලාශ්රය: opennet.ru