புரோஹோஸ்டர் > Блог > இணைய செய்தி > சப்மாட்யூல்களை குளோனிங் செய்யும் போது மற்றும் ஜிட் ஷெல்லைப் பயன்படுத்தும் போது Git இல் உள்ள பாதிப்புகள்

சப்மாட்யூல்களை குளோனிங் செய்யும் போது மற்றும் ஜிட் ஷெல்லைப் பயன்படுத்தும் போது Git இல் உள்ள பாதிப்புகள்

விநியோகிக்கப்பட்ட மூலக் கட்டுப்பாட்டு அமைப்பு Git 2.38.1, 2.30.6, 2.31.5, 2.32.4, 2.33.5, 2.34.5, 2.35.5, 2.36.3 மற்றும் 2.37.4 ஆகியவற்றின் திருத்த வெளியீடுகள் வெளியிடப்பட்டுள்ளன. இரண்டு பாதிப்புகள் , "-recurse-submodules" பயன்முறையில் "git clone" கட்டளையைப் பயன்படுத்தும் போது, ​​சரிபார்க்கப்படாத களஞ்சியங்கள் மற்றும் "git shell" ஊடாடும் பயன்முறையைப் பயன்படுத்தும் போது தோன்றும். Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD ஆகியவற்றின் பக்கங்களில் விநியோகங்களில் தொகுப்பு புதுப்பிப்புகளின் வெளியீட்டை நீங்கள் கண்காணிக்கலாம்.

  • CVE-2022-39253 - குளோன் செய்யப்பட்ட களஞ்சியத்தின் உள்ளடக்கங்களைக் கட்டுப்படுத்தும் தாக்குபவர், குளோன் செய்யப்பட்ட களஞ்சியத்தின் $GIT_DIR/objects கோப்பகத்தில் ஆர்வமுள்ள கோப்புகளுக்கு குறியீட்டு இணைப்புகளை வைப்பதன் மூலம் பயனரின் கணினியில் ரகசியத் தரவை அணுகுவதற்கு பாதிப்பை அனுமதிக்கிறது. உள்நாட்டில் குளோனிங் செய்யும் போது மட்டுமே சிக்கல் தோன்றும் ("--லோக்கல்" பயன்முறையில், குளோனின் இலக்கு மற்றும் மூல தரவு ஒரே பகிர்வில் இருக்கும்போது பயன்படுத்தப்படுகிறது) அல்லது மற்றொரு களஞ்சியத்தில் துணை தொகுதியாக தொகுக்கப்பட்ட தீங்கிழைக்கும் களஞ்சியத்தை குளோனிங் செய்யும் போது (உதாரணமாக, "git clone" கட்டளை --recurse-submodules") துணைத் தொகுதிகளை மீண்டும் மீண்டும் சேர்க்கும் போது.

    "--லோக்கல்" குளோனிங் பயன்முறையில், git $GIT_DIR/பொருளின் உள்ளடக்கங்களை இலக்கு கோப்பகத்திற்கு மாற்றுகிறது (கடினமான இணைப்புகள் அல்லது கோப்புகளின் நகல்களை உருவாக்குதல்), குறியீட்டு இணைப்புகளை (அதாவது, இதன் விளைவாக, குறியீடற்ற இணைப்புகள் இலக்கு கோப்பகத்திற்கு நகலெடுக்கப்படுகின்றன, ஆனால் நேரடியாக இணைப்புகள் சுட்டிக்காட்டும் கோப்புகள்). பாதிப்பைத் தடுக்க, git இன் புதிய வெளியீடுகள் $GIT_DIR/objects கோப்பகத்தில் குறியீட்டு இணைப்புகளைக் கொண்ட “--லோக்கல்” பயன்முறையில் களஞ்சியங்களை குளோனிங் செய்வதைத் தடை செய்கிறது. கூடுதலாக, protocol.file.allow அளவுருவின் இயல்புநிலை மதிப்பு "பயனர்" என மாற்றப்பட்டது, இது file:// நெறிமுறையைப் பயன்படுத்தி குளோனிங் செயல்பாடுகளை பாதுகாப்பற்றதாக ஆக்குகிறது.

  • CVE-2022-39260 - "git shell" கட்டளையில் பயன்படுத்தப்படும் split_cmdline() செயல்பாட்டில் முழு எண் வழிதல். "ஜிட் ஷெல்" அவர்களின் உள்நுழைவு ஷெல் மற்றும் ஊடாடும் பயன்முறையை இயக்கிய பயனர்களைத் தாக்க இந்தச் சிக்கலைப் பயன்படுத்தலாம் ($HOME/git-shell-commands கோப்பு உருவாக்கப்பட்டுள்ளது). 2 ஜிபி அளவை விட சிறப்பாக வடிவமைக்கப்பட்ட கட்டளையை அனுப்பும்போது, ​​பாதிப்பை பயன்படுத்திக் கொள்வது கணினியில் தன்னிச்சையான குறியீட்டை செயல்படுத்த வழிவகுக்கும்.

ஆதாரம்: opennet.ru

கருத்தைச் சேர்