ದುರ್ಬಳಕೆ ಮಾಡಿಕೊಂಡರೆ, ಈ ನ್ಯೂನತೆಗಳು ಆಕ್ರಮಣಕಾರರಿಗೆ ಸೂಕ್ಷ್ಮ ಮಾಹಿತಿಗೆ ಅನಧಿಕೃತ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಲು ಅಥವಾ ಸಾಮಾನ್ಯವಾಗಿ ಸಮಸ್ಯೆಗಳನ್ನು ಉಂಟುಮಾಡಬಹುದು
ಇತ್ತೀಚೆಗೆ ವಿವಿಧ ಸರಿಪಡಿಸುವ ಆವೃತ್ತಿಗಳ ಪ್ರಕಟಣೆಯನ್ನು ಘೋಷಿಸಲಾಯಿತು ವಿತರಿಸಿದ ಮೂಲ ನಿಯಂತ್ರಣ ವ್ಯವಸ್ಥೆ Git ಆವೃತ್ತಿ 2.38.4 ರಿಂದ ಆವೃತ್ತಿ 2.30.8 ವರೆಗೆ ವ್ಯಾಪಿಸಿದೆ, ಸ್ಥಳೀಯ ಕ್ಲೋನ್ ಆಪ್ಟಿಮೈಸೇಶನ್ಗಳು ಮತ್ತು "git apply" ಆಜ್ಞೆಯ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುವ ತಿಳಿದಿರುವ ದೋಷಗಳನ್ನು ತೆಗೆದುಹಾಕುವ ಎರಡು ಪರಿಹಾರಗಳನ್ನು ಒಳಗೊಂಡಿದೆ.
ಅದರಂತೆ, ಈ ನಿರ್ವಹಣೆ ಬಿಡುಗಡೆಗಳು ಎಂದು ಉಲ್ಲೇಖಿಸಲಾಗಿದೆ ಎರಡು ಭದ್ರತಾ ಸಮಸ್ಯೆಗಳನ್ನು ಪರಿಹರಿಸಲು CVE-2023-22490 ಮತ್ತು CVE-2023-23946 ಅಡಿಯಲ್ಲಿ ಗುರುತಿಸಲಾಗಿದೆ. ಎರಡೂ ದೋಷಗಳು ಅಸ್ತಿತ್ವದಲ್ಲಿರುವ ಆವೃತ್ತಿಯ ಶ್ರೇಣಿಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುತ್ತವೆ ಮತ್ತು ಅದಕ್ಕೆ ಅನುಗುಣವಾಗಿ ನವೀಕರಿಸಲು ಬಳಕೆದಾರರನ್ನು ಬಲವಾಗಿ ಪ್ರೋತ್ಸಾಹಿಸಲಾಗುತ್ತದೆ.
ಆಕ್ರಮಣಕಾರರು ಮಾಹಿತಿಯನ್ನು ಪತ್ತೆಹಚ್ಚಲು ದುರ್ಬಲತೆಯನ್ನು ದೂರದಿಂದಲೇ ಬಳಸಿಕೊಳ್ಳಬಹುದು. ಅಲ್ಲದೆ, ಆಕ್ರಮಣಕಾರನು ಮಾಡಬಹುದು
ಫೈಲ್ಗಳನ್ನು ಕುಶಲತೆಯಿಂದ ನಿರ್ವಹಿಸಲು ಸ್ಥಳೀಯವಾಗಿ ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳಿ.ದುರ್ಬಲತೆಗಳನ್ನು ಬಳಸಿಕೊಳ್ಳಲು ಸಾಮಾನ್ಯ ಸವಲತ್ತುಗಳು ಅಗತ್ಯವಿದೆ. ಎರಡೂ ದುರ್ಬಲತೆಗಳಿಗೆ ಬಳಕೆದಾರರ ಪರಸ್ಪರ ಕ್ರಿಯೆಯ ಅಗತ್ಯವಿರುತ್ತದೆ.
ಮೊದಲ ಗುರುತಿಸಲಾದ ದುರ್ಬಲತೆ CVE-2023-22490, ಇದು ಸೂಕ್ಷ್ಮ ಡೇಟಾಗೆ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಲು ಕ್ಲೋನ್ ಮಾಡಿದ ರೆಪೊಸಿಟರಿಯ ವಿಷಯವನ್ನು ನಿಯಂತ್ರಿಸುವ ಆಕ್ರಮಣಕಾರರಿಗೆ ಅನುಮತಿಸುತ್ತದೆ ಬಳಕೆದಾರರ ವ್ಯವಸ್ಥೆಯಲ್ಲಿ. ಎರಡು ನ್ಯೂನತೆಗಳು ದುರ್ಬಲತೆಗೆ ಕೊಡುಗೆ ನೀಡುತ್ತವೆ:
- ಮೊದಲ ನ್ಯೂನತೆಯು ಉದ್ದೇಶ-ನಿರ್ಮಿತ ರೆಪೊಸಿಟರಿಯೊಂದಿಗೆ ಕೆಲಸ ಮಾಡುವಾಗ, ಬಾಹ್ಯ ವ್ಯವಸ್ಥೆಗಳೊಂದಿಗೆ ಸಂವಹನ ನಡೆಸುವ ಸಾರಿಗೆಯನ್ನು ಬಳಸುವಾಗಲೂ ಸ್ಥಳೀಯ ಕ್ಲೋನಿಂಗ್ ಆಪ್ಟಿಮೈಸೇಶನ್ಗಳ ಬಳಕೆಯನ್ನು ಸಾಧಿಸಲು ಅನುಮತಿಸುತ್ತದೆ.
- ಎರಡನೇ ನ್ಯೂನತೆಯು $GIT_DIR/objects ಡೈರೆಕ್ಟರಿಯ ಬದಲಿಗೆ ಸಾಂಕೇತಿಕ ಲಿಂಕ್ ಅನ್ನು ಇರಿಸಲು ಅನುಮತಿಸುತ್ತದೆ, ದುರ್ಬಲತೆ CVE-2022-39253 ಅನ್ನು ಹೋಲುತ್ತದೆ, ಇದು $GIT_DIR/ಆಬ್ಜೆಕ್ಟ್ಸ್ ಡೈರೆಕ್ಟರಿಯಲ್ಲಿ ಸಾಂಕೇತಿಕ ಲಿಂಕ್ಗಳ ನಿಯೋಜನೆಯನ್ನು ನಿರ್ಬಂಧಿಸಿದೆ, ಆದರೆ $GIT_DIR/ಆಬ್ಜೆಕ್ಟ್ಸ್ ಡೈರೆಕ್ಟರಿಯನ್ನು ಸ್ವತಃ ಪರಿಶೀಲಿಸಲಾಗಿಲ್ಲ ಸಾಂಕೇತಿಕ ಲಿಂಕ್ ಆಗಿರಬಹುದು.
ಸ್ಥಳೀಯ ಕ್ಲೋನ್ ಮೋಡ್ನಲ್ಲಿ, git $GIT_DIR/ಆಬ್ಜೆಕ್ಟ್ಗಳನ್ನು ಸಿಮ್ಲಿಂಕ್ಗಳನ್ನು ಡಿಫರೆನ್ಸಿಂಗ್ ಮಾಡುವ ಮೂಲಕ ಗುರಿ ಡೈರೆಕ್ಟರಿಗೆ ಚಲಿಸುತ್ತದೆ, ಇದು ಉಲ್ಲೇಖಿತ ಫೈಲ್ಗಳನ್ನು ನೇರವಾಗಿ ಗುರಿ ಡೈರೆಕ್ಟರಿಗೆ ನಕಲಿಸುತ್ತದೆ. ಸ್ಥಳೀಯವಲ್ಲದ ಸಾರಿಗೆಗಾಗಿ ಸ್ಥಳೀಯ ಕ್ಲೋನ್ ಆಪ್ಟಿಮೈಸೇಶನ್ಗಳನ್ನು ಬಳಸಲು ಬದಲಾಯಿಸುವುದು ಬಾಹ್ಯ ರೆಪೊಸಿಟರಿಗಳೊಂದಿಗೆ ಕೆಲಸ ಮಾಡುವಾಗ ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳಲು ಅನುಮತಿಸುತ್ತದೆ (ಉದಾಹರಣೆಗೆ, "git clone --recurse-submodules" ಆಜ್ಞೆಯೊಂದಿಗೆ ಉಪಮಾಡ್ಯೂಲ್ಗಳ ಪುನರಾವರ್ತಿತ ಸೇರ್ಪಡೆ ದುರುದ್ದೇಶಪೂರಿತ ರೆಪೊಸಿಟರಿಯ ಕ್ಲೋನಿಂಗ್ಗೆ ಕಾರಣವಾಗಬಹುದು ಮತ್ತೊಂದು ರೆಪೊಸಿಟರಿಯಲ್ಲಿ ಸಬ್ ಮಾಡ್ಯೂಲ್ ಆಗಿ ಪ್ಯಾಕ್ ಮಾಡಲಾಗಿದೆ).
ವಿಶೇಷವಾಗಿ ರಚಿಸಲಾದ ರೆಪೊಸಿಟರಿಯನ್ನು ಬಳಸಿಕೊಂಡು, Git ಅನ್ನು ಬಳಸಲು ಮೋಸಗೊಳಿಸಬಹುದು ಸ್ಥಳೀಯವಲ್ಲದ ಸಾರಿಗೆಯನ್ನು ಬಳಸುವಾಗಲೂ ಅದರ ಸ್ಥಳೀಯ ಕ್ಲೋನ್ ಆಪ್ಟಿಮೈಸೇಶನ್.
Git ಸ್ಥಳೀಯ ತದ್ರೂಪುಗಳನ್ನು ರದ್ದುಗೊಳಿಸುತ್ತದೆ ಅದರ ಮೂಲ $GIT_DIR/ವಸ್ತುಗಳು ಡೈರೆಕ್ಟರಿಯು ಸಾಂಕೇತಿಕ ಲಿಂಕ್ಗಳನ್ನು ಒಳಗೊಂಡಿದೆ (cf, CVE-2022-39253), ಡೈರೆಕ್ಟರಿಯು ಇನ್ನೂ ಸಾಂಕೇತಿಕ ಲಿಂಕ್ ಆಗಿರಬಹುದು.ಇವುಗಳ ಆಧಾರದ ಮೇಲೆ ಅನಿಯಂತ್ರಿತ ಫೈಲ್ಗಳನ್ನು ಸೇರಿಸಲು ಈ ಎರಡನ್ನು ಸಂಯೋಜಿಸಬಹುದು ದುರುದ್ದೇಶಪೂರಿತ ರೆಪೊಸಿಟರಿಯೊಳಗೆ ಬಲಿಪಶುವಿನ ಕಡತ ವ್ಯವಸ್ಥೆಯಲ್ಲಿನ ಮಾರ್ಗಗಳು ಮತ್ತು ಕೆಲಸ ಮಾಡುವ ನಕಲು, ಡೇಟಾ ಎಕ್ಸ್ಫಿಲ್ಟ್ರೇಶನ್ ಅನ್ನು ಹೋಲುತ್ತದೆ
ಸಿವಿಇ -2022-39253.
ಪತ್ತೆಯಾದ ಎರಡನೇ ದುರ್ಬಲತೆ CVE-2023-23946 ಮತ್ತು ಇದು ಡೈರೆಕ್ಟರಿಯ ಹೊರಗಿನ ಫೈಲ್ಗಳ ವಿಷಯವನ್ನು ಓವರ್ರೈಟ್ ಮಾಡಲು ಅನುಮತಿಸುತ್ತದೆ "git apply" ಆಜ್ಞೆಗೆ ವಿಶೇಷವಾಗಿ ಫಾರ್ಮ್ಯಾಟ್ ಮಾಡಲಾದ ಇನ್ಪುಟ್ ಅನ್ನು ರವಾನಿಸುವ ಮೂಲಕ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ.
ಉದಾಹರಣೆಗೆ, ಆಕ್ರಮಣಕಾರರಿಂದ ಸಿದ್ಧಪಡಿಸಲಾದ ಪ್ಯಾಚ್ಗಳನ್ನು ಜಿಟ್ ಅಪ್ಲಿಕೇಶನ್ನಲ್ಲಿ ಪ್ರಕ್ರಿಯೆಗೊಳಿಸಿದಾಗ ದಾಳಿಯನ್ನು ನಡೆಸಬಹುದು. ವರ್ಕಿಂಗ್ ಕಾಪಿಯ ಹೊರಗೆ ಫೈಲ್ಗಳನ್ನು ರಚಿಸುವುದರಿಂದ ಪ್ಯಾಚ್ಗಳನ್ನು ತಡೆಯಲು, ಸಿಮ್ಲಿಂಕ್ಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಫೈಲ್ ಅನ್ನು ಬರೆಯಲು ಪ್ರಯತ್ನಿಸುವ ಪ್ಯಾಚ್ಗಳ ಸಂಸ್ಕರಣೆಯನ್ನು "git apply" ನಿರ್ಬಂಧಿಸುತ್ತದೆ. ಆದರೆ ಈ ರಕ್ಷಣೆಯು ಮೊದಲ ಸ್ಥಾನದಲ್ಲಿ ಸಿಮ್ಲಿಂಕ್ ಅನ್ನು ರಚಿಸುವ ಮೂಲಕ ತಪ್ಪಿಸಲ್ಪಟ್ಟಿದೆ.
ಫೆಡೋರಾ 36 ಮತ್ತು 37 'ಪರೀಕ್ಷೆ' ಸ್ಥಿತಿಯಲ್ಲಿ ಭದ್ರತಾ ನವೀಕರಣಗಳನ್ನು ಹೊಂದಿವೆ ಇದು 'git' ಅನ್ನು ಆವೃತ್ತಿ 2.39.2 ಗೆ ನವೀಕರಿಸುತ್ತದೆ.
ದುರ್ಬಲತೆಗಳೂ ಇವೆ ಅವರು ಸಮುದಾಯ ಆವೃತ್ತಿ (CE) ಮತ್ತು ಎಂಟರ್ಪ್ರೈಸ್ ಆವೃತ್ತಿ (EE) ನಲ್ಲಿ GitLab 15.8.2, 15.7.7, ಮತ್ತು 15.6.8 ನೊಂದಿಗೆ ಸಂಬೋಧಿಸುತ್ತಾರೆ.
GitLab ದುರ್ಬಲತೆಗಳನ್ನು ನಿರ್ಣಾಯಕ ಎಂದು ವರ್ಗೀಕರಿಸುತ್ತದೆ ಏಕೆಂದರೆ CVE-2023-23946 ಅನುಮತಿಸುತ್ತದೆ ಗಿಟಾಲಿ ಪರಿಸರದಲ್ಲಿ ಅನಿಯಂತ್ರಿತ ಪ್ರೋಗ್ರಾಂ ಕೋಡ್ನ ಕಾರ್ಯಗತಗೊಳಿಸುವಿಕೆ (Git RPC ಸೇವೆ).
ಅದೇ ಸಮಯದಲ್ಲಿ, ಎಂಬೆಡೆಡ್ ಪೈಥಾನ್ ಆಗಿರುತ್ತದೆ ಹೆಚ್ಚಿನ ದೋಷಗಳನ್ನು ಸರಿಪಡಿಸಲು ಆವೃತ್ತಿ 3.9.16 ಗೆ ನವೀಕರಿಸಿ.
ಅಂತಿಮವಾಗಿ ಇದರ ಬಗ್ಗೆ ಇನ್ನಷ್ಟು ತಿಳಿದುಕೊಳ್ಳಲು ಆಸಕ್ತಿ ಇರುವವರಿಗೆ, ನ ಪುಟಗಳಲ್ಲಿನ ವಿತರಣೆಗಳಲ್ಲಿ ಪ್ಯಾಕೇಜ್ ನವೀಕರಣಗಳ ಬಿಡುಗಡೆಯನ್ನು ನೀವು ಅನುಸರಿಸಬಹುದು ಡೆಬಿಯನ್, ಉಬುಂಟು, rhel, SUSE/openSUSE, ಫೆಡೋರಾ, ಆರ್ಚ್ y ಫ್ರೀಬಿಎಸ್ಡಿ.
ನವೀಕರಣವನ್ನು ಸ್ಥಾಪಿಸಲು ಸಾಧ್ಯವಾಗದಿದ್ದರೆ, ವಿಶ್ವಾಸಾರ್ಹವಲ್ಲದ ರೆಪೊಸಿಟರಿಗಳಲ್ಲಿ "-recurse-submodules" ಆಯ್ಕೆಯೊಂದಿಗೆ "git clone" ಅನ್ನು ಚಾಲನೆ ಮಾಡುವುದನ್ನು ತಪ್ಪಿಸಲು ಮತ್ತು "git apply" ಮತ್ತು "git am" ಆಜ್ಞೆಗಳನ್ನು ಬಳಸದಿರಲು ಪರಿಹಾರವಾಗಿ ಶಿಫಾರಸು ಮಾಡಲಾಗಿದೆ. ಕೋಡ್ ಅನ್ನು ಪರಿಶೀಲಿಸಲಾಗಿಲ್ಲ.