Варақаҳои ислоҳкунандаи системаи идоракунии сарчашмаҳои тақсимшудаи Git 2.38.4, 2.37.6, 2.36.5, 2.35.7, 2.34.7, 2.33.7, 2.32.6, 2.31.7 ва 2.30.8 нашр шудаанд, ки онҳоро ислоҳ мекунанд. ду осебпазирӣ, ки ба оптимизатсияи клонкунии маҳаллӣ ва фармони "git application" таъсир мерасонанд. Шумо метавонед нашри навсозиҳои бастаҳоро дар дистрибюторҳо дар саҳифаҳои Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD пайгирӣ кунед. Агар насб кардани навсозӣ ғайриимкон бошад, тавсия дода мешавад, ки барои пешгирӣ кардани амали "git clone" бо опсияи "--recurse-submodules" дар анбори беэътимод ва пешгирӣ аз истифодаи "git application" ва " git am" фармонҳо дар анборҳои боваринок. code.
- Осебпазирии CVE-2023-22490 ба ҳамлагар, ки мундариҷаи анбори клоншударо назорат мекунад, имкон медиҳад, ки ба маълумоти ҳассос дар системаи корбар дастрасӣ пайдо кунад. Ду камбудиҳо ба пайдоиши осебпазирӣ мусоидат мекунанд:
Камбудии аввал имкон медиҳад, ки ҳангоми кор бо анбори махсус тарҳрезишуда, ҳатто ҳангоми истифодаи нақлиёте, ки бо системаҳои беруна ҳамкорӣ мекунад, истифодаи оптимизатсияи клонкунии маҳаллӣ ба даст оварда шавад.
Камбудии дуюм имкон медиҳад, ки ба ҷои директорияи $GIT_DIR/objects пайванди рамзӣ ҷойгир карда шавад, ки ба осебпазирии CVE-2022-39253 монанд аст, ки ислоҳи он ҷойгиркунии истинодҳои рамзӣ дар феҳристи $GIT_DIR/objects-ро масдуд кардааст, аммо ин тавр нашуд. тафтиш кунед, ки худи директорияи $GIT_DIR/objects метавонад пайванди рамзӣ бошад.
Дар реҷаи клонкунии маҳаллӣ, git $GIT_DIR/объектҳоро ба феҳристи мақсаднок тавассути барҳам додани истинод ба аломатҳо интиқол медиҳад, ки боиси нусхабардории файлҳои мустақиман истинодшуда ба директорияи мақсаднок мегардад. Гузариш ба истифодаи оптимизатсияи клонкунии маҳаллӣ барои интиқоли ғайримаҳаллӣ имкон медиҳад, ки осебпазириҳо ҳангоми кор бо анборҳои беруна истифода шаванд (масалан, ба таври рекурсивӣ дохил кардани зермодулҳо бо фармони “git clone —recurse-submodules” метавонад боиси клонкунии анбори зарароваре, ки ҳамчун зермодул бастабанди шудааст, оварда расонад. дар анбори дигар).
- Осебпазирии CVE-2023-23946 имкон медиҳад, ки мундариҷаи файлҳои берун аз феҳристи корӣ тавассути интиқоли вуруди махсус таҳияшуда ба фармони "git application" дубора навишта шавад. Масалан, ҳамларо ҳангоми коркарди часпакҳое, ки ҳамлагар дар "git application" омода кардааст, анҷом додан мумкин аст. Барои манъ кардани часпакҳо аз эҷоди файлҳо берун аз нусхаи корӣ, "git application" коркарди часпакҳоро, ки кӯшиши навиштани файлро бо истифода аз истинодҳои рамзӣ доранд, блок мекунад. Аммо маълум мешавад, ки ин муҳофизатро метавон тавассути эҷоди пайванди рамзӣ дар ҷои аввал канор гирифт.
Манбаъ: opennet.ru