Si s'exploten, aquestes falles poden permetre als atacants obtenir accés no autoritzat a informació confidencial o, en general, causar problemes
fa poc es va donar a conèixer la publicació de diverses versions correctives del sistema de control de codi font distribuït Git que abasten des de la versió 2.38.4 a la versió 2.30.8, en què es troben dues correccions que eliminen les vulnerabilitats detectades que afecta les optimitzacions de clons locals i la comanda «git apply».
Com a tal, s'esmenta que aquestes versions de manteniment són per abordar dos problemes de seguretat identificats sota CVE-2023-22490 i CVE-2023-23946. Ambdues vulnerabilitats afecten gammes de versions existents i es recomana encaridament els usuaris que facin l'actualització corresponent.
Un atacant pot explotar remotament una vulnerabilitat per detectar informació. A més, un atacant pot
explotar una vulnerabilitat localment per manipular fitxers.Es requereixen privilegis normals per explotar les vulnerabilitats. Ambdues vulnerabilitats requereixen la interacció de lusuari.
La primera vulnerabilitat identificada és CVE-2023-22490, La qual permet que un atacant que controla el contingut d'un dipòsit clonat obtingui accés a dades confidencials al sistema d'un usuari. Dos defectes contribueixen a laparició de la vulnerabilitat:
- La primera falla permet, quan es treballa amb un dipòsit especialment dissenyat, aconseguir l'ús d'optimitzacions de clonació local fins i tot quan es fa servir un transport que interactua amb sistemes externs.
- La segona falla permet col·locar un enllaç simbòlic en lloc del directori $GIT_DIR/objects, similar a la vulnerabilitat CVE-2022-39253, en què es va bloquejar la ubicació d'enllaços simbòlics al directori $GIT_DIR/objects, però el fet que el directori $GIT_DIR/objects en si mateix no es va verificar pot ser un enllaç simbòlic.
En el mode de clonatge local, git mou $GIT_DIR/objects al directori de destinació eliminant les referències dels enllaços simbòlics, cosa que fa que els fitxers als quals es fa referència es copiïn directament al directori de destinació. Canviar a l'ús d'optimitzacions de clons locals per al transport no local permet explotar una vulnerabilitat quan es treballa amb repositoris externs (per exemple, la inclusió recursiva de submòduls amb l'ordre «git clone –recurse-submodules» pot conduir a la clonació d'un repositori maliciós empaquetat com un submòdul en un altre repositori).
Usant un repositori especialment dissenyat, es pot enganyar Git perquè usi la seva optimització de clons locals fins i tot quan sutilitza un transport no local.
Encara que Git cancel·larà els clons locals la font dels quals $GIT_DIR/objects directori conté enllaços simbòlics (cf, CVE-2022-39253), els objectes del directori en si pot continuar sent un enllaç simbòlic.Aquests dos poden combinar-se per incloure arxius arbitraris basats en rutes al sistema d'arxius de la víctima dins del repositori maliciós i la còpia de treball, cosa que permet l'exfiltració de dades de manera similar a
CVE-2022-39253.
La segona vulnerabilitat detectada és CVE-2023-23946 i aquesta permet sobreescriure el contingut dels fitxers fora del directori de treball en passar una entrada amb format especial a l'ordre «git apply».
Per exemple, es pot fer un atac quan els pegats preparats per un atacant es processen en git apply. Per evitar que els pegats creïn fitxers fora de la còpia de treball, «git apply» bloqueja el processament de pegats que intenten escriure un fitxer usant enllaços simbòlics. Però aquesta protecció va resultar ser eludida en crear un enllaç simbòlic en primer lloc.
Fedora 36 i 37 tenen actualitzacions de seguretat en estat 'testing' que actualitzen 'git' a la versió 2.39.2.
Les vulnerabilitats també es aborden amb GitLab 15.8.2, 15.7.7 i 15.6.8 a Community Edition (CE) i Enterprise Edition (EE).
GitLab classifica les vulnerabilitats com a crítiques perquè CVE-2023-23946 permet la execució de codi de programa arbitrari a l'entorn Gitaly (servei Git RPC) .
Al mateix temps, Python incorporat es actualitza la versió 3.9.16 per corregir més vulnerabilitats.
Finalment per als interessats a conèixer més sobre això, poden seguir el llançament d'actualitzacions de paquets en distribucions a les pàgines de Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arc y FreeBSD.
Si no és possible instal·lar una actualització, es recomana com a solució evitar executar «git clone» amb l'opció «–recurse-submodules» en repositoris que no són de confiança, i no fer servir «git apply» i «git am» ordres amb codi no verificat.