சுரண்டப்பட்டால், இந்த குறைபாடுகள் தாக்குபவர்கள் முக்கியமான தகவல்களுக்கு அங்கீகரிக்கப்படாத அணுகலைப் பெற அனுமதிக்கலாம் அல்லது பொதுவாக சிக்கல்களை ஏற்படுத்தும்
சமீபத்தில் பல்வேறு திருத்த பதிப்புகள் வெளியிடப்படும் என்று அறிவிக்கப்பட்டது விநியோகிக்கப்பட்ட மூலக் கட்டுப்பாட்டு அமைப்பு Git பதிப்பு 2.38.4 முதல் பதிப்பு 2.30.8 வரை பரவுகிறது, உள்ளூர் குளோன் மேம்படுத்தல்கள் மற்றும் "git apply" கட்டளையைப் பாதிக்கும் அறியப்பட்ட பாதிப்புகளை அகற்றும் இரண்டு திருத்தங்கள் உள்ளன.
என, இந்த பராமரிப்பு வெளியீடுகள் என்று குறிப்பிடப்பட்டுள்ளது இரண்டு பாதுகாப்பு பிரச்சினைகளை தீர்க்க வேண்டும் CVE-2023-22490 மற்றும் CVE-2023-23946 ஆகியவற்றின் கீழ் அடையாளம் காணப்பட்டது. இரண்டு பாதிப்புகளும் ஏற்கனவே உள்ள பதிப்பு வரம்புகளைப் பாதிக்கின்றன மற்றும் அதற்கேற்ப புதுப்பிக்க பயனர்கள் வலுவாக ஊக்குவிக்கப்படுகிறார்கள்.
ஒரு தாக்குபவர், தகவலைக் கண்டறிய ஒரு பாதிப்பை தொலைநிலையில் பயன்படுத்திக் கொள்ளலாம். மேலும், ஒரு தாக்குபவர் முடியும்
கோப்புகளைக் கையாள உள்நாட்டில் ஒரு பாதிப்பைப் பயன்படுத்துங்கள்.பாதிப்புகளைப் பயன்படுத்த சாதாரண சலுகைகள் தேவை. இரண்டு பாதிப்புகளுக்கும் பயனர் தொடர்பு தேவைப்படுகிறது.
முதலில் அடையாளம் காணப்பட்ட பாதிப்பு CVE-2023-22490, எந்த குளோன் செய்யப்பட்ட களஞ்சியத்தின் உள்ளடக்கத்தைக் கட்டுப்படுத்தும் தாக்குபவர் முக்கியமான தரவை அணுக அனுமதிக்கிறது ஒரு பயனரின் கணினியில். இரண்டு குறைபாடுகள் பாதிப்பிற்கு பங்களிக்கின்றன:
- முதல் குறைபாடு, ஒரு நோக்கத்திற்காக கட்டமைக்கப்பட்ட களஞ்சியத்துடன் பணிபுரியும் போது, வெளிப்புற அமைப்புகளுடன் தொடர்பு கொள்ளும் போக்குவரத்தைப் பயன்படுத்தும் போது கூட, உள்ளூர் குளோனிங் மேம்படுத்தல்களின் பயன்பாட்டை அடைய அனுமதிக்கிறது.
- இரண்டாவது குறையானது $GIT_DIR/objects கோப்பகத்தில் குறியீட்டு இணைப்புகளை வைப்பதை தடுக்கும் $GIT_DIR/objects கோப்பகத்திற்குப் பதிலாக ஒரு குறியீட்டு இணைப்பை வைக்க அனுமதிக்கிறது, இது பாதிப்பு CVE-2022-39253, ஆனால் உண்மையில் $GIT_DIR/பொருள்கள் கோப்பகமே சரிபார்க்கப்படவில்லை ஒரு குறியீட்டு இணைப்பாக இருக்கலாம்.
லோக்கல் குளோன் பயன்முறையில், ஜிட் $GIT_DIR/ஆப்ஜெக்ட்களை சிம்லிங்க்களைக் குறைப்பதன் மூலம் இலக்கு கோப்பகத்திற்கு நகர்த்துகிறது, இதனால் குறிப்பிடப்பட்ட கோப்புகள் நேரடியாக இலக்கு கோப்பகத்திற்கு நகலெடுக்கப்படும். உள்ளூர் அல்லாத போக்குவரத்துக்கான உள்ளூர் குளோன் மேம்படுத்தல்களைப் பயன்படுத்துவதற்கு மாறுவது, வெளிப்புற களஞ்சியங்களுடன் பணிபுரியும் போது ஒரு பாதிப்பைப் பயன்படுத்த அனுமதிக்கிறது (உதாரணமாக, "git clone --recurse-submodules" கட்டளையுடன் துணைத் தொகுதிகளை மீண்டும் மீண்டும் சேர்ப்பது தீங்கிழைக்கும் களஞ்சியத்தை குளோனிங்கிற்கு வழிவகுக்கும். மற்றொரு களஞ்சியத்தில் துணை தொகுதியாக தொகுக்கப்பட்டுள்ளது).
சிறப்பாக வடிவமைக்கப்பட்ட களஞ்சியத்தைப் பயன்படுத்தி, Git ஐப் பயன்படுத்தி ஏமாற்றலாம் உள்ளூர் அல்லாத போக்குவரத்தைப் பயன்படுத்தும் போது கூட அதன் உள்ளூர் குளோன் மேம்படுத்தல்.
Git ஆனது $GIT_DIR/ஆப்ஜெக்ட்கள் கொண்ட உள்ளூர் குளோன்களை ரத்து செய்யும் கோப்பகத்தில் குறியீட்டு இணைப்புகள் உள்ளன (cf, CVE-2022-39253), பொருள்கள் கோப்பகமே இன்னும் ஒரு குறியீட்டு இணைப்பாக இருக்கலாம்.இந்த இரண்டையும் இணைத்து தன்னிச்சையான கோப்புகளைச் சேர்க்கலாம் தீங்கிழைக்கும் களஞ்சியத்தில் பாதிக்கப்பட்டவரின் கோப்பு முறைமையில் உள்ள பாதைகள் மற்றும் வேலை செய்யும் நகல், இது போன்ற தரவு வெளியேற்றத்தை அனுமதிக்கிறது
சி.வி.இ -2022-39253.
கண்டறியப்பட்ட இரண்டாவது பாதிப்பு CVE-2023-23946 மற்றும் இது கோப்பகத்திற்கு வெளியே உள்ள கோப்புகளின் உள்ளடக்கத்தை மேலெழுத அனுமதிக்கிறது. சிறப்பாக வடிவமைக்கப்பட்ட உள்ளீட்டை "git apply" கட்டளைக்கு அனுப்புவதன் மூலம் வேலை செய்கிறது.
எடுத்துக்காட்டாக, தாக்குபவரால் தயாரிக்கப்பட்ட இணைப்புகள் ஜிட் அப்ளையில் செயலாக்கப்படும்போது தாக்குதல் நடத்தப்படலாம். வேலை செய்யும் நகலுக்கு வெளியே கோப்புகளை உருவாக்குவதிலிருந்து இணைப்புகளைத் தடுக்க, சிம்லிங்க்களைப் பயன்படுத்தி கோப்பை எழுத முயற்சிக்கும் பேட்ச்களின் செயலாக்கத்தை "git apply" தடுக்கிறது. ஆனால் இந்த பாதுகாப்பு முதலில் ஒரு சிம்லிங்கை உருவாக்குவதன் மூலம் தவிர்க்கப்பட்டது.
ஃபெடோரா 36 மற்றும் 37 ஆகியவை 'சோதனை' நிலையில் பாதுகாப்பு மேம்படுத்தல்களைக் கொண்டுள்ளன இது 'git' ஐ பதிப்பு 2.39.2 க்கு மேம்படுத்துகிறது.
பாதிப்புகளும் உள்ளன அவர்கள் சமூக பதிப்பு (CE) மற்றும் நிறுவன பதிப்பு (EE) ஆகியவற்றில் GitLab 15.8.2, 15.7.7 மற்றும் 15.6.8 உடன் உரையாற்றுகிறார்கள்.
GitLab பாதிப்புகளை முக்கியமானதாக வகைப்படுத்துகிறது, ஏனெனில் CVE-2023-23946 அனுமதிக்கிறது Gitaly சூழலில் தன்னிச்சையான நிரல் குறியீட்டை செயல்படுத்துதல் (Git RPC சேவை).
அதே நேரத்தில், உட்பொதிக்கப்பட்ட பைதான் இருக்கும் மேலும் பாதிப்புகளைச் சரிசெய்ய, பதிப்பு 3.9.16க்கு புதுப்பிக்கவும்.
இறுதியாக அதைப் பற்றி மேலும் அறிய ஆர்வமுள்ளவர்களுக்கு, இன் பக்கங்களில் விநியோகங்களில் தொகுப்பு புதுப்பிப்புகளின் வெளியீட்டைப் பின்பற்றலாம் டெபியன், உபுண்டு, RHEL, SUSE/openSUSE, ஃபெடோரா, ஆர்க் y ஃப்ரீ.
புதுப்பிப்பை நிறுவ முடியாவிட்டால், நம்பத்தகாத களஞ்சியங்களில் "-recurse-submodules" விருப்பத்துடன் "git clone" இயங்குவதைத் தவிர்ப்பதற்கு ஒரு தீர்வாக பரிந்துரைக்கப்படுகிறது, மேலும் "git apply" மற்றும் "git am" கட்டளைகளைப் பயன்படுத்த வேண்டாம். குறியீடு சரிபார்க்கப்படவில்லை.