گٹ (CVE-2021-29468) میں ایک اہم خطرے کی نشاندہی کی گئی ہے، جو صرف سائگون ماحول کے لیے تعمیر کرتے وقت ظاہر ہوتی ہے (ونڈوز پر بنیادی لینکس API کی تقلید کے لیے ایک لائبریری اور ونڈوز کے لیے معیاری لینکس پروگراموں کا ایک سیٹ)۔ خطرہ حملہ آور کے زیر کنٹرول ریپوزٹری سے ڈیٹا ("گٹ چیک آؤٹ") بازیافت کرتے وقت حملہ آور کوڈ پر عمل درآمد کرنے کی اجازت دیتا ہے۔ سائگ وِن کے گِٹ 2.31.1-2 پیکیج میں مسئلہ حل ہو گیا ہے۔ مرکزی گٹ پروجیکٹ میں، مسئلہ ابھی تک ٹھیک نہیں ہوا ہے (اس بات کا امکان نہیں ہے کہ کوئی ریڈی میڈ پیکیج استعمال کرنے کے بجائے اپنے ہاتھوں سے سائگ وین کے لیے گٹ بنا رہا ہو)۔
یہ خطرہ سائگ وِن کی طرف سے ونڈوز کے بجائے یونکس جیسے نظام کے طور پر ماحول کی پروسیسنگ کی وجہ سے پیدا ہوتا ہے، جس کے نتیجے میں راستے میں '\' کریکٹر کے استعمال پر کوئی پابندی نہیں ہے، جبکہ سائگ وِن میں، ونڈوز کی طرح، یہ کریکٹر ہو سکتا ہے۔ ڈائریکٹریز کو الگ کرنے کے لیے استعمال کیا جاتا ہے۔ نتیجے کے طور پر، بیک سلیش کریکٹر کے ساتھ علامتی لنکس اور فائلوں پر مشتمل ایک خاص طور پر تبدیل شدہ ریپوزٹری بنا کر، سائگ وِن میں اس ریپوزٹری کو لوڈ کرتے وقت صوابدیدی فائلوں کو اوور رائٹ کرنا ممکن ہے (ونڈوز کے لیے Git میں 2019 میں اسی طرح کا خطرہ طے کیا گیا تھا)۔ فائلوں کو اوور رائٹ کرنے کی صلاحیت حاصل کر کے، حملہ آور گٹ میں ہک کالز کو اوور رائیڈ کر سکتا ہے اور سسٹم پر صوابدیدی کوڈ کو لاگو کرنے کا سبب بن سکتا ہے۔
ماخذ: opennet.ru