Tarqalgan manbalarni boshqarish tizimining Git 2.38.4, 2.37.6, 2.36.5, 2.35.7, 2.34.7, 2.33.7, 2.32.6, 2.31.7 va 2.30.8 tuzatuvchi versiyalari chop etildi, ular tuzatadi. mahalliy klonlash va "git application" buyrug'ini optimallashtirishga ta'sir qiluvchi ikkita zaiflik. Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD sahifalarida tarqatishlarda paket yangilanishlarining chiqarilishini kuzatishingiz mumkin. Agar yangilanishni o'rnatish imkoni bo'lmasa, ishonchsiz omborlarda "--recurse-submodules" opsiyasi bilan "git clone" operatsiyasini bajarmaslik hamda "git application" va " dan foydalanmaslik uchun vaqtinchalik yechim sifatida tavsiya etiladi. git am" ishonchsiz omborlardagi buyruqlar. kod.
- CVE-2023-22490 zaifligi klonlangan ombor tarkibini boshqaruvchi tajovuzkorga foydalanuvchi tizimidagi maxfiy ma'lumotlarga kirish imkonini beradi. Ikki kamchilik zaiflikning paydo bo'lishiga yordam beradi:
Birinchi kamchilik, maxsus ishlab chiqilgan ombor bilan ishlashda, hatto tashqi tizimlar bilan o'zaro aloqada bo'lgan transportdan foydalanganda ham mahalliy klonlash optimallashtirishlaridan foydalanishga imkon beradi.
Ikkinchi kamchilik CVE-2022-39253 zaifligiga o'xshash $GIT_DIR/objects katalogi o'rniga ramziy havolani joylashtirish imkonini beradi, uni tuzatish $GIT_DIR/objects katalogiga ramziy havolalarni joylashtirishni blokladi, lekin buni amalga oshirmadi. $GIT_DIR/objects katalogining o'zi ramziy havola bo'lishi mumkinligini tekshiring.
Mahalliy klonlash rejimida git $GIT_DIR/obyektlarini simli havolalarni oΚ»chirish orqali maqsadli katalogga oΚ»tkazadi, bu esa toΚ»gΚ»ridan-toΚ»gΚ»ri havola qilingan fayllarni maqsadli katalogga nusxalanishiga olib keladi. Mahalliy bo'lmagan transport uchun mahalliy klonlashni optimallashtirishdan foydalanishga o'tish tashqi omborlar bilan ishlashda zaifliklardan foydalanish imkonini beradi (masalan, "git clone βrecurse-submodules" buyrug'i bilan submodullarni rekursiv kiritish submodul sifatida paketlangan zararli omborni klonlashga olib kelishi mumkin. boshqa omborda).
- CVE-2023-23946 zaifligi "git apply" buyrug'iga maxsus tayyorlangan kiritish orqali ishchi katalogdan tashqaridagi fayllar tarkibini qayta yozish imkonini beradi. Misol uchun, hujum "git application" da tajovuzkor tomonidan tayyorlangan yamoqlarni qayta ishlash jarayonida amalga oshirilishi mumkin. Yamoqlarni ishchi nusxadan tashqarida fayllar yaratishni bloklash uchun "git application" simli havolalar yordamida fayl yozishga urinayotgan yamoqlarni qayta ishlashni bloklaydi. Ammo ma'lum bo'lishicha, bu himoyani birinchi navbatda ramziy havola yaratish orqali chetlab o'tish mumkin.
Manba: opennet.ru