Ако бъдат използвани, тези пропуски могат да позволят на нападателите да получат неоторизиран достъп до чувствителна информация или като цяло да причинят проблеми
наскоро беше обявено публикуването на различни коригиращи версии разпределена система за контрол на източника Git обхваща от версия 2.38.4 до версия 2.30.8, съдържащ две корекции, които премахват известни уязвимости, засягащи оптимизациите на локално клониране и командата "git apply".
Като такива се споменава, че тези версии за поддръжка са за решаване на два проблема със сигурността идентифицирани под CVE-2023-22490 и CVE-2023-23946. И двете уязвимости засягат съществуващите диапазони от версии и потребителите са силно насърчавани да актуализират съответно.
Нападателят може дистанционно да използва уязвимост, за да открие информация. Освен това нападателят може
използват уязвимост локално, за да манипулират файлове.Необходими са нормални привилегии за използване на уязвимостите. И двете уязвимости изискват взаимодействие с потребителя.
Първата идентифицирана уязвимост е CVE-2023 22490-, който позволява на атакуващ, който контролира съдържанието на клонирано хранилище, да получи достъп до чувствителни данни в системата на потребителя. Два недостатъка допринасят за уязвимостта:
- Първият недостатък позволява, когато работите със специално създадено хранилище, да постигнете използването на локални оптимизации за клониране, дори когато използвате транспорт, който взаимодейства с външни системи.
- Вторият недостатък позволява поставянето на символна връзка вместо директорията $GIT_DIR/objects, подобно на уязвимостта CVE-2022-39253, която блокира поставянето на символни връзки в директорията $GIT_DIR/objects, но фактът, че $GIT_DIR/objects самата директория не е проверена може да е символна връзка.
В режим на локално клониране, git премества $GIT_DIR/objects в целевата директория чрез дерефериране на символни връзки, което кара референтните файлове да бъдат копирани директно в целевата директория. Преминаването към използване на оптимизации за локално клониране за нелокален транспорт позволява да се използва уязвимост при работа с външни хранилища (например рекурсивно включване на подмодули с командата "git clone --recurse-submodules" може да доведе до клониране на злонамерено хранилище пакетиран като подмодул в друго хранилище).
Използвайки специално създадено хранилище, Git може да бъде подмамен да използва неговата локална оптимизация за клониране дори когато се използва нелокален транспорт.
Въпреки че Git ще отмени локални клонинги, чийто източник $GIT_DIR/objects директорията съдържа символни връзки (cf, CVE-2022-39253), обектите на самата директория все още може да бъде символна връзка.Тези две могат да се комбинират, за да включват произволни файлове на базата на пътища във файловата система на жертвата в злонамереното хранилище и работно копие, което позволява ексфилтриране на данни, подобно на
CVE-2022-39253.
Втората открита уязвимост е CVE-2023-23946 и това позволява презаписване на съдържанието на файлове извън директорията работа чрез предаване на специално форматиран вход към командата "git apply".
Например атака може да бъде извършена, когато кръпки, подготвени от нападател, се обработват в git apply. За да попречи на пачовете да създават файлове извън работното копие, "git apply" блокира обработката на пачове, които се опитват да напишат файл с помощта на символни връзки. Но тази защита се оказа заобиколена чрез създаване на символна връзка на първо място.
Fedora 36 и 37 имат актуализации за защита в статус „тестване“. които актуализират 'git' до версия 2.39.2.
Уязвимостите също са те адресират с GitLab 15.8.2, 15.7.7 и 15.6.8 в Community Edition (CE) и Enterprise Edition (EE).
GitLab класифицира уязвимостите като критични, тъй като CVE-2023-23946 позволява изпълнение на произволен програмен код в среда Gitaly (услуга Git RPC).
В същото време ще има вграден Python Актуализирайте до версия 3.9.16, за да коригирате повече уязвимости.
Накрая За тези, които искат да научат повече за това, можете да следите пускането на актуализации на пакети в дистрибуции на страниците на Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Арка y FreeBSD.
Ако не е възможно да инсталирате актуализация, препоръчва се като заобиколно решение да избягвате стартирането на „git clone“ с опцията „–recurse-submodules“ в ненадеждни хранилища и да не използвате командите „git apply“ и „git am“ с непотвърден код.