விநியோகிக்கப்பட்ட மூலக் கட்டுப்பாட்டு அமைப்பு Git 2.35.2, 2.30.3, 2.31.2, 2.32.1, 2.33.2 மற்றும் 2.34.2 ஆகியவற்றின் திருத்த வெளியீடுகள் வெளியிடப்பட்டுள்ளன, இதில் இரண்டு பாதிப்புகள் சரி செய்யப்பட்டுள்ளன:
- CVE-2022-24765 - பகிரப்பட்ட கோப்பகங்களைக் கொண்ட பல-பயனர் கணினிகளில் தாக்குதல் கண்டறியப்பட்டுள்ளது, இது மற்றொரு பயனரால் வரையறுக்கப்பட்ட கட்டளைகளை செயல்படுத்த வழிவகுக்கும். தாக்குபவர் மற்ற பயனர்களுடன் குறுக்கிடும் இடங்களில் ".git" கோப்பகத்தை உருவாக்கலாம் (உதாரணமாக, பகிரப்பட்ட கோப்பகங்கள் அல்லது தற்காலிக கோப்புகளைக் கொண்ட கோப்பகங்களில்) மற்றும் அதில் ".git/config" உள்ளமைவு கோப்பை ஹேண்ட்லர்களின் உள்ளமைவுடன் வைக்கலாம். சில பணிகள் செயல்படுத்தப்படும் போது அழைக்கப்படுகிறது git கட்டளைகள் (உதாரணமாக, நீங்கள் core.fsmonitor அளவுருவைப் பயன்படுத்தி குறியீடு செயல்படுத்தலை ஒழுங்கமைக்கலாம்).
".git/config" இல் வரையறுக்கப்பட்டுள்ள ஹேண்ட்லர்கள், தாக்குபவரால் உருவாக்கப்பட்ட ".git" துணை அடைவை விட அதிகமான கோப்பகத்தில் git ஐ அணுகினால், அந்த பயனர் வேறு பயனராக அழைக்கப்படுவார். அழைப்பைச் சேர்த்து மறைமுகமாகச் செய்யலாம், எடுத்துக்காட்டாக, VS குறியீடு மற்றும் ஆட்டம் போன்ற கிட் ஆதரவுடன் குறியீடு எடிட்டர்களைப் பயன்படுத்தும் போது அல்லது "ஜிட் நிலையை" தூண்டும் துணை நிரல்களைப் பயன்படுத்தும் போது (உதாரணமாக, Git Bash அல்லது posh-git). Git 2.35.2 பதிப்பில், அடிப்படை கோப்பகங்களில் ".git" ஐத் தேடுவதற்கான தர்க்கத்தில் மாற்றங்கள் மூலம் பாதிப்பு தடுக்கப்பட்டது (".git" கோப்பகம் வேறொரு பயனருக்கு சொந்தமானதாக இருந்தால் இப்போது புறக்கணிக்கப்படும்).
- CVE-2022-24767 என்பது Windows இயங்குதளம் சார்ந்த பாதிப்பு ஆகும், இது Windows க்கான Git இன் நிறுவல் நீக்குதல் செயல்பாட்டை இயக்கும் போது SYSTEM சலுகைகளுடன் குறியீட்டை செயல்படுத்த அனுமதிக்கிறது. கணினி பயனர்களால் எழுதக்கூடிய தற்காலிக கோப்பகத்தில் இயங்கும் நிறுவல் நீக்கியால் சிக்கல் ஏற்படுகிறது. மாற்று டிஎல்எல்களை தற்காலிக கோப்பகத்தில் வைப்பதன் மூலம் தாக்குதல் மேற்கொள்ளப்படுகிறது, இது நிறுவல் நீக்கி சிஸ்டம் உரிமைகளுடன் இயங்கும் போது ஏற்றப்படும்.
ஆதாரம்: opennet.ru