Litokollo tse lokisoang tsa sistimi ea taolo ea mohloli o phatlalalitsoeng Git 2.40.1, 2.39.3, 2.38.5, 2.37.7, 2.36.6, 2.35.8, 2.34.8, 2.33.8, 2.32.7, 2.31.8 le 2.30.9 e hatisitsoe .XNUMX, e lokisitseng bofokoli bo mehlano. U ka latela tokollo ea lintlafatso tsa sephutheloana kabong ho Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD maqephe. Joalo ka mokhoa oa ho itšireletsa khahlanong le bofokoli, ho khothaletsoa ho qoba ho sebelisa taelo ea "git apply --reject" ha o sebetsa ka li-patches tsa kantle tse sa lekoang, 'me u hlahlobe litaba tsa $GIT_DIR/config pele u sebelisa "git submodule deinit", "git". config --rename-section" le "git config --remove-section" ha o sebetsana le lipolokelo tse sa tšepahaleng.
Kotsi CVE-2023-29007 e lumella ho kenya sebaka sa litlhophiso ho $GIT_DIR/config configuration file, e ka sebelisoang ho phethahatsa khoutu tsamaisong ka ho hlakisa litsela tsa lifaele tse sebetsang ho core.pager, core.editor le core.sshCommand ditaelo. Ho ba kotsing ho bakoa ke phoso e utloahalang ka lebaka la hore litekanyetso tse telele tsa tlhophiso li ka nkuoa e le qalo ea karolo e ncha ha u reha kapa u hlakola karolo ho tsoa faeleng ea tlhophiso. Ha e le hantle, ho nkela maemo a tlatlapang sebaka ho ka fihlelleha ka ho hlakisa li-URL tse telele haholo tse bolokiloeng ho $GIT_DIR/config file nakong ea ho qala. Li-URL tsena li ka hlalosoa e le litlhophiso tse ncha ha u leka ho li tlosa ka "git submodule deinit".
Vulnerability CVE-2023-25652 e lumella ho ngola litaba tsa lifaele ka ntle ho sefate se sebetsang ha li-patches tse entsoeng ka ho khetheha li sebetsoa ke taelo ea "git apply --reject". Haeba u leka ho etsa patch e mpe ka taelo ea "git apply" e lekang ho ngolla faele ka sehokelo sa tšoantšetso, ts'ebetso e tla haneloa. Ho Git 2.39.1, tšireletso ea symlink e atolositsoe ho thibela li-patches tse etsang li-symlink le ho leka ho ngola ka tsona. Taba ea bofokoli bo ntseng bo nahanoa ke hore Git ha ea ka ea ela hloko hore mosebelisi a ka phethahatsa taelo ea "git apply -reject" ea ho ngola likarolo tse lahliloeng tsa patch joalo ka lifaele tse nang le ".rej" extension, mme mohlaseli a ka khona. sebelisa monyetla ona ho ngola litaba bukeng e sa reroang, ho fihlela moo litumello tsa hajoale li e lumellang.
Ntle le moo, ho na le mefokolo e meraro e hlahang sethaleng sa Windows feela: CVE-2023-29012 (batla doskey.exe bukeng e sebetsang ea polokelo ha o etsa taelo ea "Git CMD", e u lumellang ho hlophisa. ts'ebetsong ea khoutu ea hau tsamaisong ea mosebedisi), CVE-2023 -25815 (buffer e phalla ha u ntse u sebetsana le lifaele tsa sebaka sa tloaelo ka gettext) le CVE-2023-29011 (monyetla oa ho kenya faele ea connect.exe ha u sebetsa ka SOCKS5).
Source: opennet.ru