Siidaynta saxda ah ee nidaamka xakamaynta isha qaybsan Git 2.40.1, 2.39.3, 2.38.5, 2.37.7, 2.36.6, 2.35.8, 2.34.8, 2.33.8, 2.32.7, 2.31.8 iyo 2.30.9 ayaa la daabacay .XNUMX, kuwaas oo shan baylahda meesha laga saaray. Waxaad la socon kartaa sii deynta cusboonaysiinta xirmada ee qaybinta boggaga Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD. Si looga hortago dayacanka, waxaa lagula talinayaa inaad iska ilaaliso socodsiinta amarka "git apply --reject" markaad la shaqaynayso balastar dibadeed oo aan la tijaabin, iyo inaad hubiso waxa ku jira $GIT_DIR/config ka hor inta aanad bilaabin "git submodule deinit", "git" config --rename-section"iyo"git config --remove-section" markaad la shaqaynayso meelo aan la aamini karin.
Nuglaanta CVE-2023-29007 waxay u ogolaataa beddelka goobaha $GIT_DIR / faylka qaabeynta, kaas oo loo isticmaali karo in lagu fuliyo koodhka nidaamka iyadoo la qeexayo waddooyinka faylasha la fulin karo ee core.pager, core.editor iyo core.sshCommand dardaaranka . Nuglaanta waxaa sabab u ah qalad macquul ah oo sababi kara in qiyamka qaabeynta aadka u dheer loogu dabiibo bilawga qayb cusub marka la samaynayo dib u magacaabid ama tirtir hawlaha qayb ka mid ah faylka qaabeynta. Ficil ahaan, beddelka qiyamka ka faa'iidaysta nuglaanta waxaa lagu gaari karaa iyadoo la cayimayo URL-yada aadka u dheer ee submodules, kuwaas oo lagu keydiyo faylka $ GIT_DIR / config inta lagu jiro bilowga. URL-yadan waxaa loo tarjumi karaa inay yihiin dejin cusub marka la isku dayayo in laga saaro iyaga oo loo marayo "git submodule deinit".
Nuglaanta CVE-2023-25652 waxay ogolaataa waxa ku jira faylalka ka baxsan geedka shaqada in dib loo qoro marka la samaynayo balastar si gaar ah loo nashqadeeyay oo leh amarka "git apply - diid" Haddii aad isku daydo inaad sameyso balastar xaasidnimo leh oo leh amarka "git apply" kaas oo isku dayaya in lagu qoro fayl iyada oo loo marayo isku xirka astaanta, hawlgalka waa la diidi doonaa. Gudaha Git 2.39.1, ka hortagga wax-is-daba-marinta symlink ayaa la ballaariyay si loo joojiyo balastarrada abuura calaamadaha iskuna dayaan in ay wax ku qoraan. Nuxurka nuglaanta su'aashu waxay tahay in Git uusan xisaabta ku darin in isticmaaluhu uu maamuli karo amarka "git apply -reject" si uu u qoro qaybo la diiday oo balastar ah sida faylal leh kordhinta ".rej", weeraryahanna wuu isticmaali karaa. sifadan si loogu qoro waxa ku jira hage gardarro ah, ilaa iyo inta xuquuqaha gelitaanka hadda ay ogolaadaan tan.
Intaa waxaa dheer, saddex dayacan oo kaliya oo ka muuqda madal Windows ayaa la hagaajiyay: CVE-2023-29012 (ka raadi doskey.exe la fulin karo ee buugga shaqada ee kaydka marka la fulinayo amarka "Git CMD", kaas oo kuu oggolaanaya inaad abaabulo fulinta koodhkaaga nidaamka isticmaalaha), CVE-2023 -25815 (buufis qulqulaya marka la farsameynayo faylalka meelaynta si gaar ah loo qaabeeyey ee gettext) iyo CVE-2023-29011 (suurtagalnimada in la xoqo faylka connect.exe marka la adeegsanayo SOCKS5).
Source: opennet.ru