Awọn idasilẹ atunṣe ti eto iṣakoso orisun pinpin Git 2.40.1, 2.39.3, 2.38.5, 2.37.7, 2.36.6, 2.35.8, 2.34.8, 2.33.8, 2.32.7, 2.31.8 ati 2.30.9 ni a ti tẹjade .XNUMX, eyiti o wa titi awọn ailagbara marun. O le tẹle itusilẹ ti awọn imudojuiwọn package ni awọn pinpin lori Debian, Ubuntu, RHEL, SUSE/ openSUSE, Fedora, Arch, awọn oju-iwe FreeBSD. Gẹgẹbi adaṣe lati daabobo lodi si awọn ailagbara, o gba ọ niyanju lati yago fun ṣiṣiṣẹ aṣẹ “git apply --reject” nigba ṣiṣẹ pẹlu awọn abulẹ ita ti ko ni idanwo, ati ṣayẹwo awọn akoonu ti $ GIT_DIR/config ṣaaju ṣiṣe “git submodule deinit”, “git” config --rename-section" ati "git config --remove-section" nígbà tí wọ́n bá ń bá àwọn ibi ìfipamọ́ tí a kò gbẹ́kẹ̀ lé.
Vulnerability CVE-2023-29007 ngbanilaaye iyipada awọn eto ni $ GIT_DIR / faili atunto atunto, eyiti o le ṣee lo lati ṣiṣẹ koodu ninu eto naa nipa sisọ awọn ọna si awọn faili ṣiṣe ni core.pager, core.editor ati core.sshCommand awọn itọsọna. Ailagbara naa jẹ idi nipasẹ aṣiṣe ọgbọn nitori eyiti awọn iye atunto gigun pupọ le ṣe itọju bi ibẹrẹ ti apakan tuntun nigbati o tun lorukọ tabi piparẹ apakan kan lati faili atunto kan. Ni iṣe, fidipo awọn iye ilokulo le ṣee ṣe nipasẹ sisọtọ awọn URL submodule gigun pupọ ti o fipamọ sinu faili $GIT_DIR/config lakoko ibẹrẹ. Awọn URL wọnyi ni a le tumọ bi awọn eto titun nigbati o n gbiyanju lati yọ wọn kuro nipasẹ "git submodule deinit".
Palara CVE-2023-25652 ngbanilaaye atunkọ awọn akoonu ti awọn faili ni ita igi iṣẹ nigbati awọn abulẹ ti a ṣe ni pataki ti ni ilọsiwaju nipasẹ aṣẹ “git apply --reject”. Ti o ba gbiyanju lati ṣiṣẹ alemo irira pẹlu aṣẹ “git apply” ti o gbiyanju lati kọ si faili kan nipasẹ ọna asopọ aami, iṣẹ naa yoo kọ. Ni Git 2.39.1, aabo ifọwọyi symlink ti gbooro lati dènà awọn abulẹ ti o ṣẹda awọn ọna asopọ ati igbiyanju lati kọ nipasẹ wọn. Ohun pataki ti ailagbara labẹ ero ni pe Git ko ṣe akiyesi pe olumulo le ṣe aṣẹ “git apply -reject” lati kọ awọn apakan ti a kọ silẹ ti alemo bi awọn faili pẹlu itẹsiwaju “.rej”, ati ikọlu le lo anfani yii lati kọ awọn akoonu si itọsọna lainidii, niwọn igba ti awọn igbanilaaye lọwọlọwọ gba laaye.
Ni afikun, awọn ailagbara mẹta ti o han lori pẹpẹ Windows nikan ni a ti ṣeto: CVE-2023-29012 (wa fun doskey.exe ti o ṣiṣẹ ni itọsọna iṣẹ ti ibi ipamọ nigbati o ba n ṣiṣẹ aṣẹ “Git CMD”, eyiti o fun ọ laaye lati ṣeto. ipaniyan ti koodu rẹ lori eto olumulo), CVE-2023 -25815 (fififififipamọ ṣiṣan lakoko ṣiṣe awọn faili isọdi aṣa ni gettext) ati CVE-2023-29011 (o ṣeeṣe ti rirọpo faili connect.exe nigba ṣiṣẹ nipasẹ SOCKS5).
orisun: opennet.ru