Siidaynta saxda ah ee nidaamka xakamaynta isha qaybsan Git 2.38.4, 2.37.6, 2.36.5, 2.35.7, 2.34.7, 2.33.7, 2.32.6, 2.31.7 iyo 2.30.8 ayaa la daabacay, kuwaas oo hagaajinaya laba dayacan , saamaynaya hagaajinta ee cloning maxalliga ah iyo amarka "git apply" Waxaad la socon kartaa sii deynta cusboonaysiinta xirmada ee qaybinta boggaga Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD. Haddii aysan suurtagal ahayn in la rakibo cusboonaysiinta, waxaa lagula talinayaa inay noqoto meel-ka-socod si looga fogaado fulinta hawlgalka "git clone" ee leh "--recurse-submodules" ikhtiyaarka kaydinta aan la aamini karin, iyo in laga fogaado isticmaalka "git apply" iyo " git am" wuxuu amar ku bixiyaa kaydadka aan la aamini karin. code.
- Nuglaanta CVE-2023-22490 waxay u ogolaataa qofka weerarka qaadaya ee maamula waxa ku jira kaydka cloned si uu u helo xogta xasaasiga ah ee nidaamka isticmaalaha. Laba cilladood ayaa ka qayb qaata soo ifbaxa nuglaanta:
Ciladda ugu horreysa waxay u oggolaaneysaa, markaad la shaqeyneyso kayd si gaar ah loo qaabeeyey, si loo gaaro isticmaalka kobcinta cloning maxaliga ah xitaa marka la isticmaalayo gaadiid la falgala nidaamyada dibadda.
Ciladda labaad waxay u oggolaanaysaa meelaynta isku xirka astaanta halkii $ GIT_DIR / tusaha walxaha, oo la mid ah nuglaanshaha CVE-2022-39253, hagaajinta kaas oo xannibay meelaynta xiriiriyeyaasha calaamadda $ GIT_DIR / tusaha walxaha, laakiin ma dhicin. hubi xaqiiqda ah in $GIT_DIR/alaabta tusaha laftiisa uu noqon karo isku xidhka astaanta.
Habka cloning deegaanka, git waxa uu ku wareejinayaa $GIT_DIR/walxaha hagaha bartilmaameedka isagoo meesha ka saaraya calaamadaha, taas oo sababta faylalka tooska ah ee la tixraacay in lagu koobiyeeyo hagaha bartilmaameedka. U beddelashada isticmaalka kobcinta cloning deegaanka ee gaadiidka aan deegaanka ahayn waxay u oggolaanaysaa ka faa'iidaysiga dayacanka marka la shaqaynayo kaydka dibadda (tusaale ahaan, si isdabajoog ah oo ay ku jiraan submodules-ka hoos yimaada amarka "git clone -recurse-submodules" waxay u horseedi kartaa xidhitaanka kayd xaasidnimo ah oo loo soo xidhay sidii submodule. kayd kale).
- Nuglaanta CVE-2023-23946 waxay u ogolaataa waxa ku jira faylalka ka baxsan hagaha shaqada in lagu beddelo iyada oo loo gudbinayo tallo si gaar ah loo farsameeyay amarka "git apply". Tusaale ahaan, weerar waxaa la qaadi karaa inta lagu guda jiro habaynta balastarrada uu diyaariyey weeraryahan ee "git apply". Si looga hortago balastarrada abuurista faylal ka baxsan nuqulka shaqada, "git apply" wuxuu xannibaa habaynta balastarrada isku dayaya inay qoraan faylka iyagoo isticmaalaya calaamadaha. Laakiin waxay soo baxday in ilaalintan lagu dhaafi karo iyada oo la abuurayo isku xirka calaamadda marka hore.
Source: opennet.ru