Git にデータ漏洩と上書きにつながる XNUMX つの脆弱性が検出されました

Darkcrizt

4分

脆弱性

これらの欠陥が悪用されると、攻撃者は機密情報に不正にアクセスしたり、一般的に問題を引き起こしたりする可能性があります

最近 さまざまな修正バージョンの公開が発表されました 分散ソース管理システム バージョン 2.38.4 からバージョン 2.30.8 までの Gitには、ローカル クローンの最適化と「git apply」コマンドに影響する既知の脆弱性を取り除く XNUMX つの修正が含まれています。

そのため、これらのメンテナンス リリースについて言及されています。 XNUMXつのセキュリティ問題に対処することです CVE-2023-22490 および CVE-2023-23946 で識別されます。 どちらの脆弱性も既存のバージョン範囲に影響を与えるため、ユーザーはそれに応じて更新することを強くお勧めします。

攻撃者はリモートで脆弱性を悪用して情報を検出できます。 また、攻撃者は
ローカルで脆弱性を悪用してファイルを操作します。

脆弱性を悪用するには、通常の権限が必要です。 どちらの脆弱性にも、ユーザーの操作が必要です。

最初に確認された脆弱性は CVE-2023-22490どれ 複製されたリポジトリのコンテンツを制御する攻撃者が機密データにアクセスできるようにする ユーザーのシステム上。 次の XNUMX つの欠陥が脆弱性の原因となります。

  • 最初の欠陥により、専用のリポジトリで作業する場合、外部システムとやり取りするトランスポートを使用している場合でも、ローカル クローニングの最適化を使用できます。
  • 2022 番目の欠陥では、$GIT_DIR/objects ディレクトリの代わりにシンボリック リンクを配置できます。脆弱性 CVE-39253-XNUMX と同様に、$GIT_DIR/objects ディレクトリへのシンボリック リンクの配置をブロックしていましたが、$GIT_DIR/objects ディレクトリにディレクトリ自体がチェックされていない場合は、シンボリック リンクである可能性があります。

ローカル クローン モードでは、git はシンボリック リンクを逆参照することによって $GIT_DIR/objects をターゲット ディレクトリに移動し、参照されたファイルをターゲット ディレクトリに直接コピーします。 非ローカル トランスポートにローカル クローンの最適化を使用するように切り替えると、外部リポジトリを操作するときに脆弱性が悪用される可能性があります (たとえば、「git clone --recurse-submodules」コマンドを使用してサブモジュールを再帰的に含めると、悪意のあるリポジトリのクローンが作成される可能性がありますサブモジュールとして別のリポジトリにパッケージ化されています)。

特別に細工されたリポジトリを使用して、Git をだまして使用させることができます 非ローカル トランスポートを使用している場合でも、ローカル クローンの最適化を行います。
Git は、ソースが $GIT_DIR/objects であるローカル クローンをキャンセルしますが、 ディレクトリには、シンボリック リンク (CVE-2022-39253 を参照)、 ディレクトリ自体は引き続きシンボリック リンクにすることができます。

これら XNUMX つを組み合わせて、以下に基づく任意のファイルを含めることができます。 悪意のあるリポジトリ内の被害者のファイル システムのパスと、 作業コピー、同様のデータ流出を可能にする
CVE-2022-39253。

検出された XNUMX 番目の脆弱性は、 CVE-2023-23946 およびこれにより、ディレクトリ外のファイルの内容を上書きできます 特別にフォーマットされた入力を「git apply」コマンドに渡すことで機能します。

たとえば、攻撃者が作成したパッチを git apply で処理すると、攻撃が実行される可能性があります。 パッチが作業コピーの外にファイルを作成するのを防ぐために、「git apply」は、シンボリックリンクを使用してファイルを書き込もうとするパッチの処理をブロックします。 しかし、この保護は、最初にシンボリック リンクを作成することで回避されることが判明しました。

Fedora 36 および 37 には「テスト中」ステータスのセキュリティ アップデートがあります 「git」をバージョン 2.39.2 に更新します。

脆弱性も Community Edition (CE) および Enterprise Edition (EE) の GitLab 15.8.2、15.7.7、および 15.6.8 に対応します。

CVE-2023-23946 により、 Gitaly 環境 (Git RPC サービス) での任意のプログラム コードの実行。
同時に、組み込み Python は バージョン 3.9.16 に更新して、さらに多くの脆弱性を修正します。

最後に 詳しく知りたい方へのページで、ディストリビューションのパッケージ更新のリリースを追跡できます。 DebianのUbuntuRHELSUSE/openSUSEフェドーラアーチFreeBSDの.

アップデートをインストールできない場合は、回避策として、信頼できないリポジトリで「–recurse-submodules」オプションを指定して「git clone」を実行することを避け、「git apply」および「git am」コマンドを使用しないことをお勧めします。検証されていないコードで。


コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:AB Internet Networks 2008 SL
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。