Git 2.40.1 ออกแล้ววันนี้เนื่องจากมีการเปิดเผยช่องโหว่ด้านความปลอดภัยใหม่สามรายการ เนื่องจากการแก้ไขด้านความปลอดภัยเหล่านี้ยังมีการอัปเดต Git สำหรับซีรีส์ที่เสถียรก่อนหน้านี้ด้วย v2.39.3, v2.38.5, v2.37.7, v2.36.6, v2.35.8, v2.34.8, v2.33.8, v2.32.7, v2.31.8 และ v2.30.9
ช่องโหว่ด้านความปลอดภัยของ Git ทั้งสามรายการที่เผยแพร่สู่สาธารณะในวันนี้ ได้แก่ CVE-2023-25652, CVE-2023-25815 และ CVE-2023-29007 ช่องโหว่เหล่านี้อาจนำไปสู่เส้นทางที่อยู่นอกแผนผังการทำงานของ Git ที่อาจถูกเขียนทับด้วยเนื้อหาที่ควบคุมบางส่วน ความเป็นไปได้ของการจัดวางข้อความที่จัดทำขึ้นโดยประสงค์ร้ายเมื่อ Git ถูกสร้างขึ้นโดยไม่มีข้อความที่แปล และช่องโหว่ที่สามเกี่ยวกับการฉีดการกำหนดค่าโดยพลการ
* CVE-2023-25652:
โดยการป้อนอินพุตที่สร้างขึ้นเป็นพิเศษไปยัง `git apply–reject` เส้นทางที่อยู่นอกแผนผังการทำงานสามารถเขียนทับด้วยเนื้อหาที่ควบคุมบางส่วนได้ (สอดคล้องกับ ก้อนใหญ่ที่ถูกปฏิเสธจากแพทช์ที่กำหนด)
* CVE-2023-25815:
เมื่อ Git ถูกคอมไพล์ด้วยการสนับสนุนคำนำหน้ารันไทม์และทำงานโดยไม่มีข้อความที่แปลแล้ว มันยังคงใช้กลไก gettext เพื่อแสดงข้อความ ซึ่งต่อมาอาจค้นหาข้อความที่แปลแล้วในที่ที่ไม่คาดคิด สิ่งนี้อนุญาตให้วางข้อความที่สร้างขึ้นที่เป็นอันตราย
* CVE-2023-29007:
เมื่อเปลี่ยนชื่อหรือลบส่วนออกจากไฟล์การกำหนดค่า ค่าการกำหนดค่าที่เป็นอันตรายบางอย่างอาจถูกตีความผิดว่าเป็นจุดเริ่มต้นของส่วนการกำหนดค่าใหม่ ซึ่งนำไปสู่ การฉีดการกำหนดค่าโดยพลการ
ดาวน์โหลดและรายละเอียดเพิ่มเติมเกี่ยวกับการอัปเดต Git ชุดใหญ่ในวันนี้ได้ที่
