Ja šīs nepilnības tiek izmantotas, uzbrucēji var iegūt nesankcionētu piekļuvi sensitīvai informācijai vai vispār radīt problēmas.
Nesen tika izsludināta dažādu labojošu versiju publicēšana izplatīta avota kontroles sistēma Git, kas aptver no versijas 2.38.4 līdz versijai 2.30.8, kas satur divus labojumus, kas novērš zināmās ievainojamības, kas ietekmē lokālo klonu optimizāciju un komandu "git apply".
Tādējādi tiek minēts, ka šīs apkopes izlaidumi ir jārisina divi drošības jautājumi identificēti ar CVE-2023-22490 un CVE-2023-23946. Abas ievainojamības ietekmē esošos versiju diapazonus, un lietotāji tiek ļoti aicināti attiecīgi atjaunināt.
Uzbrucējs var attālināti izmantot ievainojamību, lai atklātu informāciju. Arī uzbrucējs var
lokāli izmantot ievainojamību, lai manipulētu ar failiem.Lai izmantotu ievainojamības, ir nepieciešamas parastās privilēģijas. Abām ievainojamībām ir nepieciešama lietotāja mijiedarbība.
Pirmā identificētā ievainojamība ir CVE-2023-22490, kas ļauj uzbrucējam, kurš kontrolē klonēta repozitorija saturu, piekļūt sensitīviem datiem lietotāja sistēmā. Ievainojamību veicina divi trūkumi:
- Pirmais trūkums ļauj, strādājot ar mērķtiecīgi izveidotu repozitoriju, panākt lokālās klonēšanas optimizācijas izmantošanu pat tad, ja tiek izmantots transports, kas mijiedarbojas ar ārējām sistēmām.
- Otrs trūkums ļauj ievietot simbolisku saiti, nevis direktoriju $GIT_DIR/objects, līdzīgi kā ievainojamība CVE-2022-39253, kas bloķēja simbolisko saišu izvietošanu direktorijā $GIT_DIR/objects, taču fakts, ka $GIT_DIR/objects Pats direktorijs netika pārbaudīts, iespējams, ir simboliska saite.
Lokālā klona režīmā git pārvieto $GIT_DIR/objektus uz mērķa direktoriju, atceļot atsauces uz simbolu saitēm, izraisot norādīto failu kopēšanu tieši mērķa direktorijā. Pāreja uz lokālo klonu optimizāciju nelokālajam transportam ļauj izmantot ievainojamību, strādājot ar ārējiem repozitorijiem (piemēram, rekursīva apakšmoduļu iekļaušana ar komandu "git clone --recurse-submodules" var izraisīt ļaunprātīgas repozitorija klonēšanu iepakots kā apakšmodulis citā repozitorijā).
Izmantojot īpaši izveidotu repozitoriju, Git var tikt pievilts tā lokālā klona optimizācija pat tad, ja tiek izmantots nevietējais transports.
Lai gan Git atcels vietējos klonus, kuru avots ir $GIT_DIR/objekti direktorijā ir simboliskas saites (sal., CVE-2022-39253), Pats direktorijs joprojām var būt simboliska saite.Šos divus var apvienot, lai iekļautu patvaļīgus failus, kuru pamatā ir ceļi upura failu sistēmā ļaunprātīgo failu repozitorijā un darba kopija, kas ļauj veikt datu eksfiltrāciju līdzīgi
CVE-2022-39253.
Otrā atklātā ievainojamība ir CVE-2023-23946 un tas ļauj pārrakstīt ārpus direktorija esošo failu saturu strādā, nododot īpaši formatētu ievadi komandai "git apply".
Piemēram, uzbrukumu var veikt, kad uzbrucēja sagatavotie ielāpi tiek apstrādāti programmā git apply. Lai ielāpi neradītu failus ārpus darba kopijas, “git apply” bloķē ielāpu apstrādi, kas mēģina rakstīt failu, izmantojot simboliskās saites. Taču šī aizsardzība izrādījās apieta, vispirms izveidojot simbolisku saiti.
Fedora 36 un 37 drošības atjauninājumi ir “testēšanas” statusā kas atjaunina “git” uz versiju 2.39.2.
Ir arī ievainojamības tie adresēti ar GitLab 15.8.2, 15.7.7 un 15.6.8 Kopienas izdevumā (CE) un Enterprise Edition (EE).
GitLab ievainojamības klasificē kā kritiskas, jo CVE-2023-23946 ļauj patvaļīga programmas koda izpilde Gitaly vidē (Git RPC pakalpojums).
Tajā pašā laikā iegultais Python būs Atjauniniet uz versiju 3.9.16, lai novērstu vairāk ievainojamību.
Beidzot Tiem, kas vēlas uzzināt vairāk par to, varat sekot līdzi pakotņu atjauninājumu izlaišanai izplatīšanas lapās Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arka y FreeBSD.
Ja nav iespējams instalēt atjauninājumu, ieteicams izvairīties no “git clone” palaišanas ar opciju “–recurse-submodules” neuzticamās krātuvēs un neizmantot komandas “git apply” un “git am”. ar kodu nav pārbaudīts.