X41 और GitLab के साइबर सुरक्षा शोधकर्ताओं ने Git वितरित संस्करण नियंत्रण प्रणाली में तीन उच्च-गंभीरता कमजोरियों की खोज की है।
शोधकर्ताओं ने कहा कि खामियों से खतरे वाले अभिनेताओं को ढेर-आधारित बफर अतिप्रवाह कमजोरियों का फायदा उठाकर लक्ष्य समापन बिंदुओं पर मनमाना कोड चलाने की अनुमति मिल सकती है। तीन खामियों में से दो में पहले से ही पैच लगे हुए हैं, जबकि तीसरे के लिए वर्कअराउंड उपलब्ध है।
जिन दो कमजोरियों को पैच किया गया था, उन्हें CVE-2022-41903 और CVE-2022-23521 के रूप में ट्रैक किया गया है। डेवलपर्स (नए टैब में खुलता है) अपने उपकरणों की सुरक्षा के लिए गिट को 2.30.7 संस्करण में अपडेट करना चाहिए। तीसरे को CVE-2022-41953 के रूप में ट्रैक किया गया है, जिसमें रिपॉजिटरी को क्लोन करने के लिए Git GUI सॉफ़्टवेयर का उपयोग नहीं किया जा रहा है। ब्लेपिंगकंप्यूटर के अनुसार, सुरक्षित रहने का एक और तरीका है, अविश्वसनीय स्रोतों से पूरी तरह से क्लोनिंग से बचना।
पैच और वर्कअराउंड
“खोजी गई सबसे गंभीर समस्या एक हमलावर को क्लोन या पुल ऑपरेशन के दौरान हीप-आधारित मेमोरी भ्रष्टाचार को ट्रिगर करने की अनुमति देती है, जिसके परिणामस्वरूप कोड निष्पादन हो सकता है। एक अन्य महत्वपूर्ण समस्या आर्काइव ऑपरेशन के दौरान कोड निष्पादन की अनुमति देती है, जो आमतौर पर गिट फोर्ज द्वारा किया जाता है।” शोधकर्त्ता कहा (नए टैब में खुलता है) घटना के बारे में उनके स्पष्टीकरण में।
“इसके अतिरिक्त, बड़ी संख्या में पूर्णांक संबंधित मुद्दों की पहचान की गई थी, जो बड़े इनपुट पर इनकार-की-सेवा स्थितियों, आउट-ऑफ-बाउंड रीड्स या बस बुरी तरह से संभाले गए कोने के मामलों को जन्म दे सकता है।”
गिट ने तब से कुछ अतिरिक्त संस्करण जारी किए हैं, इसलिए सुरक्षित रहने के लिए, सुनिश्चित करें कि आप गिट का नवीनतम संस्करण – 2.39.1 चला रहे हैं।
ब्लीपिंग कंप्यूटर ध्यान दें कि जो लोग पैच को तुरंत लागू नहीं कर सकते हैं, उन्हें अविश्वसनीय रिपॉजिटरी में “गिट आर्काइव” को अक्षम करना चाहिए, या अविश्वसनीय रिपॉजिटरी पर कमांड चलाने से बचना चाहिए। इसके अलावा, यदि “गिट आर्काइव” को “गिट डेमॉन” के माध्यम से उजागर किया जाता है, तो अविश्वसनीय डिपॉजिटरी के साथ काम करते समय उपयोगकर्ताओं को इसे निष्क्रिय कर देना चाहिए। यह “git config -global daemon.upladArch false” कमांड के माध्यम से किया जा सकता है।
“हम दृढ़ता से अनुशंसा करते हैं कि सभी इंस्टॉलेशन मुद्दों से प्रभावित संस्करण चला रहे हैं [..] जितनी जल्दी हो सके नवीनतम संस्करण में अपग्रेड किया जाता है,” GitLab आगाह (नए टैब में खुलता है).
के जरिए: ब्लीपिंग कंप्यूटर (नए टैब में खुलता है)
