விநியோகிக்கப்பட்ட மூலக் கட்டுப்பாட்டு அமைப்பு Git 2.40.1, 2.39.3, 2.38.5, 2.37.7, 2.36.6, 2.35.8, 2.34.8, 2.33.8, 2.32.7, 2.31.8 மற்றும் 2.30.9 ஆகியவற்றின் திருத்த வெளியீடுகள் .XNUMX வெளியிடப்பட்டுள்ளன, இதில் ஐந்து பாதிப்புகள் நீக்கப்பட்டன. Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD ஆகியவற்றின் பக்கங்களில் விநியோகங்களில் தொகுப்பு புதுப்பிப்புகளின் வெளியீட்டை நீங்கள் கண்காணிக்கலாம். பாதிப்புகளிலிருந்து பாதுகாப்பதற்கான தீர்வுகளாக, சோதிக்கப்படாத வெளிப்புற இணைப்புகளுடன் பணிபுரியும் போது "git apply --reject" கட்டளையை இயக்குவதைத் தவிர்க்கவும், "git submodule deinit", "git" கட்டளைகளை இயக்குவதற்கு முன் $GIT_DIR/config இன் உள்ளடக்கங்களைச் சரிபார்க்கவும் பரிந்துரைக்கப்படுகிறது. config --rename-section" மற்றும் " git config --remove-section" நம்பத்தகாத களஞ்சியங்களுடன் பணிபுரியும் போது.
CVE-2023-29007 பாதிப்பு $GIT_DIR/config உள்ளமைவு கோப்பில் உள்ள அமைப்புகளை மாற்ற அனுமதிக்கிறது, core.pager, core.editor மற்றும் core.sshCommand வழிமுறைகளில் இயங்கக்கூடிய கோப்புகளுக்கான பாதைகளைக் குறிப்பிடுவதன் மூலம் கணினியில் குறியீட்டை இயக்கப் பயன்படுத்தலாம். . ஒரு உள்ளமைவு கோப்பிலிருந்து ஒரு பிரிவில் மறுபெயரிடுதல் அல்லது நீக்குதல் செயல்பாடுகளைச் செய்யும்போது, புதிய பிரிவின் தொடக்கமாக மிக நீண்ட உள்ளமைவு மதிப்புகள் கருதப்படக்கூடிய தர்க்கப் பிழையின் காரணமாக பாதிப்பு ஏற்படுகிறது. நடைமுறையில், தொடக்கநிலையின் போது $GIT_DIR/config கோப்பில் சேமிக்கப்படும் துணைத்தொகுதிகளின் மிக நீண்ட URLகளைக் குறிப்பிடுவதன் மூலம் பாதிப்பைப் பயன்படுத்தும் மதிப்புகளின் மாற்றீடு அடையப்படலாம். இந்த URLகளை "git submodule deinit" வழியாக அகற்ற முயற்சிக்கும்போது புதிய அமைப்புகளாக விளங்கலாம்.
பாதிப்பு CVE-2023-25652 ஆனது "git apply -reject" கட்டளையுடன் சிறப்பாக வடிவமைக்கப்பட்ட இணைப்புகளை செயலாக்கும் போது வேலை செய்யும் மரத்திற்கு வெளியே உள்ள கோப்புகளின் உள்ளடக்கங்களை மேலெழுத அனுமதிக்கிறது. குறியீட்டு இணைப்பு வழியாக ஒரு கோப்பில் எழுத முயற்சிக்கும் "git apply" கட்டளையுடன் தீங்கிழைக்கும் பேட்சை இயக்க முயற்சித்தால், செயல்பாடு நிராகரிக்கப்படும். Git 2.39.1 இல், சிம்லிங்க் கையாளுதலுக்கு எதிரான பாதுகாப்பு, சிம்லிங்க்களை உருவாக்கும் மற்றும் அவற்றின் மூலம் எழுத முயற்சிக்கும் இணைப்புகளைத் தடுக்க விரிவுபடுத்தப்பட்டுள்ளது. கேள்விக்குரிய பாதிப்பின் சாராம்சம் என்னவென்றால், ".rej" நீட்டிப்புடன் பேட்சின் நிராகரிக்கப்பட்ட பகுதிகளை கோப்புகளாக எழுத "git apply -reject" கட்டளையை பயனர் இயக்க முடியும் என்பதை Git கணக்கில் எடுத்துக்கொள்ளவில்லை, மேலும் தாக்குபவர் பயன்படுத்தலாம் தற்போதைய அணுகல் உரிமைகள் இதை அனுமதிக்கும் வரை, உள்ளடக்கங்களை தன்னிச்சையான கோப்பகத்தில் எழுத இந்த அம்சம்.
கூடுதலாக, விண்டோஸ் இயங்குதளத்தில் மட்டும் தோன்றும் மூன்று பாதிப்புகள் சரி செய்யப்பட்டுள்ளன: CVE-2023-29012 ("Git CMD" கட்டளையை இயக்கும் போது களஞ்சியத்தின் பணி அடைவில் இயங்கக்கூடிய doskey.exe ஐத் தேடவும், இது உங்களை ஒழுங்கமைக்க அனுமதிக்கிறது பயனரின் கணினியில் உங்கள் குறியீட்டை செயல்படுத்துதல்), CVE-2023 -25815 (கெட்டெக்ஸ்ட்டில் சிறப்பாக வடிவமைக்கப்பட்ட உள்ளூர்மயமாக்கல் கோப்புகளை செயலாக்கும்போது இடையக வழிதல்) மற்றும் CVE-2023-29011 (SOCKS5 வழியாக வேலை செய்யும் போது connect.exe கோப்பை ஏமாற்றும் சாத்தியம்).
ஆதாரம்: opennet.ru