Kui neid vigu ära kasutatakse, võivad ründajad pääseda volitamata juurde tundlikule teabele või põhjustada üldiselt probleeme
Hiljuti teatati erinevate korrigeerivate versioonide avaldamisest hajutatud allika juhtimissüsteem Git ulatub versioonist 2.38.4 kuni versioonini 2.30.8, mis sisaldab kahte parandust, mis eemaldavad teadaolevad haavatavused, mis mõjutavad kohalikku klooni optimeerimist ja käsku "git apply".
Sellisena mainitakse, et need hooldusväljaanded on käsitleda kahte turvaprobleemi tuvastatud CVE-2023-22490 ja CVE-2023-23946 all. Mõlemad haavatavused mõjutavad olemasolevaid versioonivahemikke ja kasutajatel soovitatakse tungivalt vastavalt värskendada.
Ründaja saab turvaauku teabe tuvastamiseks eemalt ära kasutada. Samuti saab ründaja
kasutada haavatavust kohapeal failidega manipuleerimiseks.Turvaaukude ärakasutamiseks on vaja tavalisi õigusi. Mõlemad haavatavused nõuavad kasutaja sekkumist.
Esimene tuvastatud haavatavus on CVE-2023-22490, mis võimaldab ründajal, kes kontrollib kloonitud hoidla sisu, pääseda ligi tundlikele andmetele kasutaja süsteemis. Haavatavust soodustavad kaks viga:
- Esimene viga võimaldab spetsiaalselt ehitatud hoidlaga töötamisel kasutada kohalikke kloonimise optimeerimisi isegi siis, kui kasutatakse transporti, mis suhtleb väliste süsteemidega.
- Teine viga võimaldab paigutada kataloogi $GIT_DIR/objektid asemel sümboolse lingi, mis sarnaneb haavatavusega CVE-2022-39253, mis blokeeris sümboolsete linkide paigutamise kataloogi $GIT_DIR/objektid, kuid asjaolu, et $GIT_DIR/objects kataloogi ennast ei kontrollitud, võib see olla sümboolne link.
Kohalikus kloonirežiimis teisaldab git sümbolilinkide viitamise teel faili $GIT_DIR/objektid sihtkataloogi, mille tulemusena kopeeritakse viidatud failid otse sihtkataloogi. Kohaliku kloonide optimeerimise kasutamisele mittekohaliku transpordi jaoks üleminek võimaldab turvaaukude ärakasutamist väliste hoidlatega töötamisel (näiteks alammoodulite rekursiivne kaasamine käsuga "git clone --recurse-submodules" võib viia pahatahtliku hoidla kloonimiseni pakitud alammoodulina teises hoidlas).
Spetsiaalselt loodud hoidla abil saab Giti ära petta selle kohaliku klooni optimeerimine isegi mittekohaliku transpordi kasutamisel.
Kuigi Git tühistab kohalikud kloonid, mille allikas on $GIT_DIR/objektid kataloog sisaldab sümboolseid linke (vt CVE-2022-39253), kataloog ise võib siiski olla sümboolne link.Neid kahte saab kombineerida, et lisada suvalised failid, mis põhinevad teed ohvri failisüsteemis ründevarahoidlas ja töökoopia, mis võimaldab andmete väljafiltreerimist sarnaselt
CVE-2022-39253.
Teine avastatud haavatavus on CVE-2023-23946 ja see võimaldab kataloogist väljaspool olevate failide sisu üle kirjutada töötab spetsiaalselt vormindatud sisendi edastamisega käsule "git apply".
Näiteks saab rünnak läbi viia, kui ründaja koostatud plaastreid töödeldakse git-rakenduses. Et vältida paikade loomist failide loomisest väljaspool töökoopiat, blokeerib "git apply" paikade töötlemise, mis üritavad faili sümlinkide abil kirjutada. Kuid osutus sellest kaitsest mööda hiilimiseks sümlingi loomisega.
Fedora 36 ja 37 turvavärskendused on testimisolekus mis värskendab 'git' versioonile 2.39.2.
Samuti on haavatavused nad käsitlevad GitLabi versioonidega 15.8.2, 15.7.7 ja 15.6.8 Community Editionis (CE) ja Enterprise Editionis (EE).
GitLab liigitab haavatavused kriitilisteks, kuna CVE-2023-23946 võimaldab suvalise programmikoodi täitmine Gitaly keskkonnas (Git RPC teenus).
Samal ajal on ka manustatud Python Rohkemate haavatavuste parandamiseks värskendage versioonile 3.9.16.
Lõpuks Neile, kes soovivad selle kohta rohkem teada saada, saate jälgida paketivärskenduste avaldamist distributsioonides lehtedel Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Kaar y FreeBSD.
Kui värskendust pole võimalik installida, on soovitatav lahendusena vältida „git clone” käivitamist valikuga „–recurse-submodules” ebausaldusväärsetes hoidlates ning mitte kasutada käske „git apply” ja „git am”. mille kood pole kinnitatud.