Otkrivene su dvije ranjivosti u Gitu koje su dovele do curenja i prepisivanja podataka

nedavno najavljeno je objavljivanje raznih korektivnih verzija distribuirani sustav kontrole izvora Git u rasponu od verzije 2.38.4 do verzije 2.30.8, koji sadrži dva popravka koji uklanjaju poznate ranjivosti koje utječu na lokalne optimizacije kloniranja i naredbu "git apply".

Kao takva, spomenuta su ova izdanja za održavanje rješavaju dva sigurnosna pitanja identificiran pod CVE-2023-22490 i CVE-2023-23946. Obje ranjivosti utječu na postojeće raspone verzija i korisnike se snažno potiče da ažuriraju u skladu s tim.

Napadač može daljinski iskoristiti ranjivost za otkrivanje informacija. Također, napadač može
lokalno iskorištavanje ranjivosti za manipuliranje datotekama.

Za iskorištavanje ranjivosti potrebne su normalne privilegije. Obje ranjivosti zahtijevaju interakciju korisnika.

Prva identificirana ranjivost je CVE-2023-22490, koji omogućuje napadaču koji kontrolira sadržaj kloniranog repozitorija pristup osjetljivim podacima na sustavu korisnika. Dva nedostatka doprinose ranjivosti:

• Prva mana omogućuje, kada se radi sa namjenski izgrađenim repozitorijem, da se postigne korištenje lokalnih optimizacija kloniranja čak i kada se koristi prijenos koji je u interakciji s vanjskim sustavima.
• Drugi propust dopušta postavljanje simboličke veze umjesto direktorija $GIT_DIR/objects, slično ranjivosti CVE-2022-39253, koja je blokirala postavljanje simboličke veze u direktorij $GIT_DIR/objects, ali činjenica da $GIT_DIR/objects sam imenik nije provjeren može biti simbolička veza.

U načinu lokalnog kloniranja, git premješta $GIT_DIR/objects u ciljni direktorij dereferenciranjem simboličkih veza, uzrokujući kopiranje navedenih datoteka izravno u ciljni direktorij. Prebacivanje na korištenje lokalnih optimizacija kloniranja za nelokalni prijenos omogućuje iskorištavanje ranjivosti pri radu s vanjskim spremištima (na primjer, rekurzivno uključivanje podmodula s naredbom "git clone --recurse-submodules" može dovesti do kloniranja zlonamjernog spremišta zapakiran kao podmodul u drugom repozitoriju).

Korištenjem posebno izrađenog repozitorija, Git se može na prijevaru koristiti njegovu optimizaciju lokalnog klona čak i kada se koristi ne-lokalni prijenos.
Iako će Git otkazati lokalne klonove čiji je izvor $GIT_DIR/objects direktorij sadrži simboličke veze (cf, CVE-2022-39253), objekte sam imenik još uvijek može biti simbolička veza.

Ovo dvoje se može kombinirati da uključi proizvoljne datoteke na temelju staze u datotečnom sustavu žrtve unutar zlonamjernog spremišta i radna kopija, dopuštajući ekstrakciju podataka slično
CVE-2022-39253.

Druga otkrivena ranjivost je CVE-2023-23946 i to omogućuje prepisivanje sadržaja datoteka izvan direktorija radi prosljeđivanjem posebno formatiranog unosa naredbi "git apply".

Na primjer, napad se može izvesti kada se zakrpe koje je pripremio napadač obrađuju u git apply. Kako biste spriječili da zakrpe stvaraju datoteke izvan radne kopije, "git apply" blokira obradu zakrpa koje pokušavaju napisati datoteku koristeći simboličke veze. Ali pokazalo se da je ova zaštita zaobiđena stvaranjem simboličke veze.

Fedora 36 i 37 imaju sigurnosna ažuriranja u statusu 'testiranja' koji ažurira 'git' na verziju 2.39.2.

Ranjivosti su također oni se obraćaju s GitLab 15.8.2, 15.7.7 i 15.6.8 u Community Edition (CE) i Enterprise Edition (EE).

GitLab klasificira ranjivosti kao kritične jer CVE-2023-23946 dopušta izvođenje proizvoljnog programskog koda u okruženju Gitaly (Git RPC servis).
U isto vrijeme, ugrađeni Python će biti Ažurirajte na verziju 3.9.16 da popravite više ranjivosti.

Konačno Za one koji žele znati više o tome, možete pratiti izdavanje ažuriranja paketa u distribucijama na stranicama Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Svod y FreeBSD.

Ako nije moguće instalirati ažuriranje, preporučuje se kao zaobilazno rješenje izbjegavati pokretanje "git clone" s opcijom "–recurse-submodules" na nepouzdanim spremištima i ne koristiti naredbe "git apply" i "git am" s kodom koji nije provjeren.