Awọn idasilẹ atunṣe ti eto iṣakoso orisun pinpin Git 2.39.1, 2.38.3, 2.37.5, 2.36.4, 2.35.6, 2.34.6, 2.33.6, 2.32.5, 2.31.6 ati 2.30.7 ti jẹ ti a tẹjade, ninu eyiti o yọkuro awọn ailagbara meji ti o gba ọ laaye lati ṣeto ipaniyan ti koodu rẹ lori eto olumulo nigba lilo aṣẹ “git pamosi” ati ṣiṣẹ pẹlu awọn ibi ipamọ ita ti ko ni igbẹkẹle. Awọn ailagbara jẹ idi nipasẹ awọn aṣiṣe ni koodu kika kika ati fifisilẹ ti faili “.gitattributes”, eyiti, nigba ṣiṣe awọn ibi ipamọ ita, le ja si kikọ si iranti pipa-okiti ati kika data lainidii lati iranti.
Awọn ailagbara mejeeji ni a ṣe idanimọ lakoko iṣayẹwo aabo ti Git codebase ti o ṣe nipasẹ X41 fun aṣoju OSTIF (Owo Imudara Imọ-ẹrọ Orisun Ṣiṣii), ti a ṣẹda lati teramo aabo ti awọn iṣẹ akanṣe orisun ṣiṣi. Ni afikun si awọn ọran pataki meji ti a jiroro ni isalẹ, iṣayẹwo naa tun rii ailagbara ti o lewu kan, ailagbara iwọntunwọnsi, ati awọn ọran mẹrin ti ko lewu. Awọn iṣeduro 27 tun ṣe lati mu aabo ti ipilẹ koodu sii.
- CVE-2022-41903: Integer aponsedanu ni koodu kika alaye ti o waye nigba mimu awọn iye aiṣedeede nla mu ni awọn oniṣẹ fifẹ gẹgẹbi "%<(","%<|(","%>(","%" ("ati"%><()" Odidi aponsedanu waye ninu iṣẹ kika_and_pad_commit () nitori lilo int fun oniyipada size_t, eyiti, nigbati a pe nipasẹ memcpy (), ṣe alabapin ninu ṣiṣe ipinnu iwọn aiṣedeede ti bulọọki naa jẹ daakọ.
Ailagbara naa ṣafihan ararẹ mejeeji nigbati a pe ni taara pẹlu awọn aye kika ti a ṣe apẹrẹ pataki (fun apẹẹrẹ, nigbati o nṣiṣẹ “git log —format=…”), ati nigbati o ba n ṣe ọna kika ni aiṣe-taara lakoko ipaniyan ti aṣẹ “git pamosi” ni ibi ipamọ kan dari nipasẹ awọn attacker. Ni ọran keji, awọn oluyipada ọna kika ti wa ni pato nipasẹ paramita agbejade-okeere ni faili “.gitattributes”, eyiti o le gbe nipasẹ ikọlu ni ibi ipamọ rẹ. Ọrọ naa le ṣee lo lati ka ati kọ awọn agbegbe lainidii lori okiti ati yorisi ipaniyan koodu ikọlu nigbati o n ṣiṣẹ pẹlu awọn ibi ipamọ ti ko ni igbẹkẹle.
- CVE-2022-23521: Integer ti nṣan waye nigbati sisọ awọn akoonu ti awọn faili ".gitattributes" ni ibi ipamọ kan, bi a ti rii nigbati o ba n ṣiṣẹ nọmba ti o tobi pupọ ti awọn ilana ọna faili tabi nọmba nla ti awọn abuda pẹlu ilana kanna, tabi nigbati o ba n ṣalaye pupọ. ti o tobi abuda awọn orukọ. Ọrọ naa le ṣee lo lati ka ati kọ awọn agbegbe lainidii lori okiti ati yorisi ipaniyan koodu ikọlu nigbati o n ṣiṣẹ pẹlu ibi ipamọ ti ko ni igbẹkẹle, ninu eyiti ikọlu le gbe faili .gitattributes ti a ṣe pataki ati rii daju pe o ni itọka.
A le tọpinpin ìtẹ̀jáde àwọn àtúnṣe package nínú ìpínkiri lórí àwọn ojú ìwé wọ̀nyí: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD, NetBSD. Láti dín ewu ìkọlù kù nítorí àìlè fi àwọn àtúnṣe sílẹ̀ ní àkókò tó yẹ, a gbani nímọ̀ràn láti yẹra fún ṣíṣiṣẹ́ pẹ̀lú àwọn ibi ìpamọ́ tí a kò gbẹ́kẹ̀lé àti lílo àṣẹ "git archive". Ó ṣe pàtàkì láti rántí pé àṣẹ "git archive" le ṣiṣẹ́ láìsí ìkọ̀kọ̀, fún àpẹẹrẹ, láti inú git daemon. Láti pa "git archive" nínú git daemon, yí paramita daemon.uploadArch padà nípa lílo àṣẹ "git config --global daemon.uploadArch false."
Ni afikun, a le ṣe akiyesi ipalara miiran (CVE-2022-41953) ninu Git fun ọja naa Windows, èyí tí ó gba ààyè fún ṣíṣe kódì nígbà tí a bá ń ṣe ìṣẹ̀dá àwọn ibi ìpamọ́ ìta tí a kò gbẹ́kẹ̀lé nípasẹ̀ GUI. Ìṣòro náà jẹ́ nítorí pé Git GUI fún Windows Lẹ́yìn iṣẹ́ "checkout", ó máa ń ṣiṣẹ́ àwọn àṣẹ lẹ́yìn iṣẹ́-ṣíṣe láìfọwọ́sí, bíi ṣíṣe ètò ìṣàyẹ̀wò ìkọ̀wé láti ṣàyẹ̀wò ìkọ̀wé, nígbàtí àwọn ipa ọ̀nà ìwárí fún ìkọ̀wé ìkọ̀wé fáìlì náà tún ní igi iṣẹ́ tí a ti ṣe ìkọ̀sílẹ̀ (ìkọlù náà ń yípadà sí fífi ìkọ̀wé ìkọ̀wé kún igi iṣẹ́ ti ibi ìpamọ́ náà).
orisun: opennet.ru
