Варақаҳои ислоҳкунандаи системаи идоракунии сарчашмаҳои тақсимшудаи Git 2.35.2, 2.30.3, 2.31.2, 2.32.1, 2.33.2 ва 2.34.2 нашр шудаанд, ки дар онҳо ду осебпазирӣ ислоҳ карда шудаанд:
- CVE-2022-24765 - Ҳамла ба системаҳои бисёркорбар бо директорияҳои муштарак муайян карда шуд, ки метавонад боиси иҷрои фармонҳои муайянкардаи корбари дигар шавад. Ҳамлагар метавонад феҳристи ".git"-ро дар ҷойҳое созад, ки бо корбарони дигар бурида мешаванд (масалан, дар директорияҳои муштарак ё директорияҳои дорои файлҳои муваққатӣ) ва дар он файли конфигуратсияи ".git/config" -ро бо конфигуратсияи коркардкунандагон ҷойгир кунад. фармонҳои git (масалан, шумо метавонед параметри core.fsmonitor-ро барои ташкили иҷрои код истифода баред).
Корбароне, ки дар ".git/config" муайян шудаанд, ҳамчун корбари дигар даъват карда мешаванд, агар он корбар ба git дар директорияи болотар аз зеркаталоги ".git", ки ҳамлагар сохтааст, ворид шавад. Аз ҷумла зангро ба таври ғайримустақим метавон анҷом дод, масалан, ҳангоми истифодаи муҳаррирҳои код бо дастгирии git, ба монанди VS Code ва Atom ё ҳангоми истифодаи замимаҳо, ки "stat status" -ро ангезиш медиҳанд (масалан, Git Bash ё posh-git). Дар версияи Git 2.35.2 осебпазирӣ тавассути тағирот ба мантиқи ҷустуҷӯи ".git" дар феҳристҳои асосӣ баста шуд (фароғати ".git" ҳоло нодида гирифта мешавад, агар он ба корбари дигар тааллуқ дошта бошад).
- CVE-2022-24767 - Платформаи мушаххас Windows Осебпазирие, ки ба код имкон медиҳад, ки ҳангоми иҷро кардани амалиёти Uninstall-и Git бо имтиёзҳои SYSTEM иҷро карда шавад WindowsМушкилот аз он сабаб ба вуҷуд меояд, ки барномаи несткунӣ дар феҳристи муваққатӣ, ки аз ҷониби корбарони система навишта мешавад, кор мекунад. Ҳамла бо ҷойгир кардани DLL-ҳои ивазкунанда дар феҳристи муваққатӣ анҷом дода мешавад, ки ҳангоми корандозии барномаи несткунӣ бо имтиёзҳои SYSTEM бор карда мешаванд.
Манбаъ: opennet.ru
