Aptikti du „Git“ pažeidžiamumai, dėl kurių gali nutekėti ir perrašyti duomenys

Neseniai buvo paskelbta apie įvairių taisomųjų versijų publikavimą paskirstyto šaltinio valdymo sistema Git apima nuo 2.38.4 versijos iki 2.30.8 versijos, kuriame yra du pataisymai, kurie pašalina žinomus pažeidžiamumus, turinčius įtakos vietinio klono optimizavimui ir komandai „git apply“.

Taigi minima, kad šios techninės priežiūros leidimai turi išspręsti dvi saugumo problemas nurodyta CVE-2023-22490 ir CVE-2023-23946. Abu pažeidžiamumai turi įtakos esamoms versijų grupėms, todėl vartotojai primygtinai raginami atitinkamai atnaujinti.

Užpuolikas gali nuotoliniu būdu išnaudoti pažeidžiamumą, kad aptiktų informaciją. Be to, užpuolikas gali
išnaudoti pažeidžiamumą vietoje manipuliuoti failais.

Norint išnaudoti pažeidžiamumą, reikalingos įprastos privilegijos. Dėl abiejų pažeidžiamumų reikalinga vartotojo sąveika.

Pirmasis nustatytas pažeidžiamumas yra CVE-2023-22490, kuris leidžia užpuolikui, kuris kontroliuoja klonuotos saugyklos turinį, gauti prieigą prie jautrių duomenų vartotojo sistemoje. Du trūkumai prisideda prie pažeidžiamumo:

• Pirmasis trūkumas leidžia dirbant su specialiai sukurta saugykla pasiekti vietinio klonavimo optimizavimo naudojimą net naudojant transportą, kuris sąveikauja su išorinėmis sistemomis.
• Antrasis trūkumas leidžia vietoje $GIT_DIR/objects katalogo įdėti simbolinę nuorodą, panašią į pažeidžiamumą CVE-2022-39253, kuris blokavo simbolinių nuorodų talpinimą kataloge $GIT_DIR/objects, tačiau faktas, kad $GIT_DIR/objects Pats katalogas nebuvo patikrintas, gali būti simbolinė nuoroda.

Vietinio klonavimo režimu git perkelia $GIT_DIR/objektus į tikslinį katalogą, panaikindamas simbolių nuorodas, todėl nurodyti failai nukopijuojami tiesiai į tikslinį katalogą. Perėjus prie vietinio klono optimizavimo ne vietiniam transportavimui, galima išnaudoti pažeidžiamumą dirbant su išorinėmis saugyklomis (pavyzdžiui, pakartotinis submodulių įtraukimas naudojant komandą „git clone --recurse-submodules“ gali lemti kenkėjiškos saugyklos klonavimą supakuotas kaip submodulis kitoje saugykloje).

Naudojant specialiai sukurtą saugyklą, „Git“ gali būti apgautas vietinio klono optimizavimas net naudojant nevietinį transportą.
Nors Git atšauks vietinius klonus, kurių šaltinis yra $GIT_DIR/objektai kataloge yra simbolinių nuorodų (plg. CVE-2022-39253), pats katalogas vis tiek gali būti simbolinė nuoroda.

Šie du gali būti sujungti, kad būtų įtraukti savavališki failai, pagrįsti kelius aukos failų sistemoje kenkėjiškų programų saugykloje ir darbinė kopija, leidžianti išfiltruoti duomenis panašiai kaip
CVE-2022-39253.

Antrasis aptiktas pažeidžiamumas yra CVE-2023-23946 ir tai leidžia perrašyti failų turinį už katalogo ribų veikia perduodant specialiai suformatuotą įvestį komandai „git apply“.

Pavyzdžiui, ataka gali būti vykdoma, kai užpuoliko paruoštos pataisos yra apdorojamos naudojant git application. Kad pataisos nesukurtų failų už darbinės kopijos ribų, „git apply“ blokuoja pataisų, kurios bando įrašyti failą naudojant simbolių nuorodas, apdorojimą. Tačiau paaiškėjo, kad ši apsauga buvo apeinama pirmiausia sukuriant simbolinę nuorodą.

„Fedora 36“ ir „Fedora 37“ saugos naujinimai yra „testavimo“ būsenoje kuris atnaujina „git“ į 2.39.2 versiją.

Taip pat yra pažeidžiamumų jie adresuojami su GitLab 15.8.2, 15.7.7 ir 15.6.8 bendruomenės leidime (CE) ir Enterprise Edition (EE).

„GitLab“ pažeidžiamumus klasifikuoja kaip kritinius, nes CVE-2023-23946 leidžia savavališko programos kodo vykdymas Gitaly aplinkoje (Git RPC paslauga).
Tuo pačiu metu bus įterptas Python Atnaujinkite į 3.9.16 versiją, kad ištaisytumėte daugiau pažeidžiamumų.

Pagaliau Tiems, kurie nori sužinoti daugiau apie tai, galite sekti paketų naujinimų išleidimą platinimų puslapiuose debian, ubuntu, RHEL, SUSE / openSUSE, Minkšta fetrinė skrybėlė, Arka y FreeBSD.

Jei nėra galimybės įdiegti naujinimo, rekomenduojama kaip išeitis nepaleisti „git clone“ su parinktimi „–recurse-submodules“ nepatikimose saugyklose ir nenaudoti komandų „git apply“ ir „git am“ su nepatvirtintu kodu.