புரோஹோஸ்டர் > Блог > இணைய செய்தி > தரவு கசிவு மற்றும் மேலெழுதலுக்கு வழிவகுக்கும் Git இல் உள்ள பாதிப்புகள்

தரவு கசிவு மற்றும் மேலெழுதலுக்கு வழிவகுக்கும் Git இல் உள்ள பாதிப்புகள்

விநியோகிக்கப்பட்ட மூலக் கட்டுப்பாட்டு அமைப்பான Git 2.38.4, 2.37.6, 2.36.5, 2.35.7, 2.34.7, 2.33.7, 2.32.6, 2.31.7 மற்றும் 2.30.8 ஆகியவற்றின் சரிசெய்தல் வெளியீடுகள் வெளியிடப்பட்டுள்ளன. இரண்டு பாதிப்புகள் , உள்ளூர் குளோனிங்கிற்கான மேம்படுத்தல்களையும் "git apply" கட்டளையையும் பாதிக்கிறது. Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD ஆகியவற்றின் பக்கங்களில் விநியோகங்களில் தொகுப்பு புதுப்பிப்புகளின் வெளியீட்டை நீங்கள் கண்காணிக்கலாம். புதுப்பிப்பை நிறுவ முடியாவிட்டால், நம்பத்தகாத களஞ்சியங்களில் "--recurse-submodules" விருப்பத்துடன் "git clone" செயல்பாட்டைச் செய்வதைத் தவிர்க்கவும், "git apply" மற்றும் "ஐப் பயன்படுத்துவதைத் தவிர்க்கவும் இது ஒரு தீர்வாக பரிந்துரைக்கப்படுகிறது. நம்பத்தகாத களஞ்சியங்களில் git am" கட்டளைகள். குறியீடு.

  • CVE-2023-22490 பாதிப்பு, குளோன் செய்யப்பட்ட களஞ்சியத்தின் உள்ளடக்கங்களைக் கட்டுப்படுத்தும் தாக்குபவர் பயனரின் கணினியில் உள்ள முக்கியத் தரவை அணுக அனுமதிக்கிறது. இரண்டு குறைபாடுகள் பாதிப்பின் தோற்றத்திற்கு பங்களிக்கின்றன:

    முதல் குறைபாடு, சிறப்பாக வடிவமைக்கப்பட்ட களஞ்சியத்துடன் பணிபுரியும் போது, ​​வெளிப்புற அமைப்புகளுடன் தொடர்பு கொள்ளும் போக்குவரத்தைப் பயன்படுத்தும் போது கூட, உள்ளூர் குளோனிங் மேம்படுத்தல்களின் பயன்பாட்டை அடைய அனுமதிக்கிறது.

    இரண்டாவது குறைபாடு $GIT_DIR/objects கோப்பகத்திற்குப் பதிலாக ஒரு குறியீட்டு இணைப்பை வைக்க அனுமதிக்கிறது, இது பாதிப்பு CVE-2022-39253, $GIT_DIR/objects கோப்பகத்தில் குறியீட்டு இணைப்புகளை வைப்பதைத் தடுக்கிறது, ஆனால் அவ்வாறு செய்யவில்லை. $GIT_DIR/objects கோப்பகம் ஒரு குறியீட்டு இணைப்பாக இருக்கலாம் என்பதை சரிபார்க்கவும்.

    உள்ளூர் குளோனிங் பயன்முறையில், ஜிட் $GIT_DIR/ஆப்ஜெக்ட்களை சிம்லிங்க்களைக் குறைப்பதன் மூலம் இலக்கு கோப்பகத்திற்கு மாற்றுகிறது, இது நேரடியாகக் குறிப்பிடப்பட்ட கோப்புகளை இலக்கு கோப்பகத்திற்கு நகலெடுக்கும். உள்ளூர் அல்லாத போக்குவரத்துக்கான உள்ளூர் குளோனிங் மேம்படுத்தல்களைப் பயன்படுத்த மாறுவது, வெளிப்புற களஞ்சியங்களுடன் பணிபுரியும் போது ஏற்படும் பாதிப்புகளைப் பயன்படுத்த அனுமதிக்கிறது (எடுத்துக்காட்டாக, "git clone -recurse-submodules" கட்டளையுடன் துணைத்தொகுதிகளை மீண்டும் மீண்டும் சேர்ப்பது, ஒரு துணைத் தொகுதியாக தொகுக்கப்பட்ட தீங்கிழைக்கும் களஞ்சியத்தை குளோனிங்கிற்கு வழிவகுக்கும். மற்றொரு களஞ்சியத்தில்).

  • பாதிப்பு CVE-2023-23946 ஆனது "git apply" கட்டளைக்கு சிறப்பாக வடிவமைக்கப்பட்ட உள்ளீட்டை அனுப்புவதன் மூலம் வேலை செய்யும் கோப்பகத்திற்கு வெளியே உள்ள கோப்புகளின் உள்ளடக்கங்களை மேலெழுத அனுமதிக்கிறது. எடுத்துக்காட்டாக, “git apply” இல் தாக்குபவர் தயாரித்த பேட்ச்களை செயலாக்கும் போது தாக்குதல் நடத்தப்படலாம். வேலை செய்யும் நகலுக்கு வெளியே கோப்புகளை உருவாக்குவதைத் தடுக்க, சிம்லிங்க்களைப் பயன்படுத்தி கோப்பை எழுத முயற்சிக்கும் பேட்ச்களின் செயலாக்கத்தை "git apply" தடுக்கிறது. ஆனால் முதலில் ஒரு குறியீட்டு இணைப்பை உருவாக்குவதன் மூலம் இந்த பாதுகாப்பை புறக்கணிக்க முடியும் என்று மாறிவிடும்.

ஆதாரம்: opennet.ru

கருத்தைச் சேர்