Matoleo sahihi ya mfumo wa usimamizi wa msimbo wa chanzo uliosambazwa wa Git 2.35.2, 2.30.3, 2.31.2, 2.32.1, 2.33.2, na 2.34.2 yamechapishwa, kurekebisha athari mbili:
- CVE-2022-24765 - Kwenye mifumo ya watumiaji wengi iliyo na saraka zilizoshirikiwa, shambulio liligunduliwa ambalo linaweza kusababisha utekelezaji wa amri zilizofafanuliwa na mtumiaji mwingine. Mshambulizi anaweza kuunda saraka ya ".git" katika maeneo ambayo yanapishana na watumiaji wengine (k.m., katika saraka au saraka zilizoshirikiwa na faili za muda) na kuweka faili ya usanidi ya ".git/config" ndani yake, kusanidi vidhibiti vitaitwa wakati wa kutekeleza amri fulani za git (kwa mfano, kigezo cha core.fsmonitor au kigezo cha utekelezaji wa msimbo kinaweza kutumika).
Vishikilizi vilivyofafanuliwa katika ".git/config" vitaitwa na haki za mtumiaji tofauti ikiwa mtumiaji huyo atatumia git katika saraka iliyo juu zaidi ya saraka ndogo ya ".git" iliyoundwa na mshambulizi. Hili pia linaweza kufanywa kwa njia isiyo ya moja kwa moja, kwa mfano, unapotumia vihariri vya msimbo vilivyowezeshwa na git kama vile VS Code na Atom, au unapotumia programu jalizi zinazoendesha "git status" (k.m., Git Bash au posh-git). Katika Git 2.35.2, athari hii inazuiwa kwa kubadilisha mantiki ya kutafuta ".git" katika saraka za chini (saraka ya ".git" sasa imepuuzwa ikiwa ni ya mtumiaji tofauti).
- CVE-2022-24767 - Mahususi ya Jukwaa Windows Udhaifu unaoruhusu msimbo kutekelezwa kwa marupurupu ya SYSTEM wakati wa kuendesha operesheni ya Kuondoa Git kwa WindowsTatizo linasababishwa na kiondoa data kinachoendeshwa katika saraka ya muda inayoweza kuandikwa na watumiaji wa mfumo. Shambulio hilo linafanywa kwa kuweka DLL mbadala katika saraka ya muda, ambayo itapakiwa wakati kiondoa data kinapoendeshwa na marupurupu ya SYSTEM.
Chanzo: opennet.ru
