Detecteerde twee kwetsbaarheden in Git die leidden tot datalekken en overschrijven

Darkcrizt

4 minuten

kwetsbaarheid

Als deze fouten worden misbruikt, kunnen aanvallers ongeoorloofde toegang krijgen tot gevoelige informatie of in het algemeen problemen veroorzaken

onlangs de publicatie van verschillende corrigerende versies werd aangekondigd gedistribueerd broncontrolesysteem Git variërend van versie 2.38.4 tot versie 2.30.8, met twee fixes die bekende kwetsbaarheden verwijderen die van invloed zijn op lokale kloonoptimalisaties en het "git apply"-commando.

Als zodanig wordt vermeld dat deze onderhoudsreleases zijn om twee beveiligingsproblemen aan te pakken geïdentificeerd onder CVE-2023-22490 en CVE-2023-23946. Beide kwetsbaarheden zijn van invloed op bestaande versiebereiken en gebruikers worden sterk aangemoedigd om dienovereenkomstig bij te werken.

Een aanvaller kan een kwetsbaarheid op afstand misbruiken om informatie te detecteren. Ook een aanvaller kan
een kwetsbaarheid lokaal misbruiken om bestanden te manipuleren.

Normale rechten zijn vereist om de kwetsbaarheden te misbruiken. Beide kwetsbaarheden vereisen gebruikersinteractie.

De eerste geïdentificeerde kwetsbaarheid is CVE-2023-22490, Welke stelt een aanvaller die de inhoud van een gekloonde repository beheert in staat om toegang te krijgen tot gevoelige gegevens op het systeem van een gebruiker. Twee gebreken dragen bij aan de kwetsbaarheid:

  • De eerste fout maakt het mogelijk om bij het werken met een speciaal gebouwde repository het gebruik van lokale kloneringsoptimalisaties te bereiken, zelfs wanneer een transport wordt gebruikt dat interageert met externe systemen.
  • De tweede fout maakt het plaatsen van een symbolische link mogelijk in plaats van de $GIT_DIR/objects-directory, vergelijkbaar met kwetsbaarheid CVE-2022-39253, die de plaatsing van symbolische links in de $GIT_DIR/objects-directory blokkeerde, maar het feit dat de $GIT_DIR/objects-directory directory zelf niet is aangevinkt kan een symbolische link zijn.

In de lokale kloonmodus verplaatst git $GIT_DIR/objects naar de doeldirectory door de verwijzing naar symbolische koppelingen te verwijderen, waardoor de bestanden waarnaar wordt verwezen direct naar de doeldirectory worden gekopieerd. Door over te schakelen op het gebruik van lokale kloonoptimalisaties voor niet-lokaal transport kan een kwetsbaarheid worden misbruikt bij het werken met externe repository's (recursieve opname van submodules met de opdracht "git clone --recurse-submodules" kan bijvoorbeeld leiden tot het klonen van een kwaadwillende repository verpakt als een submodule in een andere repository).

Met behulp van een speciaal vervaardigde repository kan Git worden misleid om het te gebruiken zijn lokale kloonoptimalisatie, zelfs bij gebruik van een niet-lokaal transport.
Hoewel Git lokale klonen zal annuleren waarvan de bron $GIT_DIR/objects directory bevat symbolische links (cf, CVE-2022-39253), de objecten van de directory zelf kan nog steeds een symbolische koppeling zijn.

Deze twee kunnen worden gecombineerd om willekeurige bestanden op te nemen op basis van paden in het bestandssysteem van het slachtoffer binnen de kwaadaardige repository en de werkkopie, waardoor data-exfiltratie vergelijkbaar is met
CVE-2022-39253.

De tweede gevonden kwetsbaarheid is CVE-2023-23946 en hiermee kan de inhoud van bestanden buiten de directory worden overschreven werken door een speciaal geformatteerde invoer door te geven aan de opdracht "git apply".

Er kan bijvoorbeeld een aanval worden uitgevoerd wanneer patches die door een aanvaller zijn voorbereid, worden verwerkt in git apply. Om te voorkomen dat patches bestanden maken buiten de werkkopie, blokkeert "git apply" de verwerking van patches die proberen een bestand te schrijven met behulp van symlinks. Maar deze bescherming bleek te worden omzeild door in de eerste plaats een symlink te maken.

Fedora 36 en 37 hebben beveiligingsupdates in de status 'testen' welke update 'git' naar versie 2.39.2.

Kwetsbaarheden zijn dat ook ze adresseren met GitLab 15.8.2, 15.7.7 en 15.6.8 in Community Edition (CE) en Enterprise Edition (EE).

GitLab classificeert de kwetsbaarheden als kritiek omdat CVE-2023-23946 de uitvoering van willekeurige programmacode in de Gitaly-omgeving (Git RPC-service).
Tegelijkertijd zal Python ingebed zijn Update naar versie 3.9.16 om meer kwetsbaarheden op te lossen.

Eindelijk Voor wie er meer over wil weten, kunt u de release van pakketupdates volgen in distributies op de pagina's van DebianUbuntuRHELSUSE/openSUSEFedoraboogFreeBSD.

Als het niet mogelijk is om een ​​update te installeren, wordt het als tijdelijke oplossing aanbevolen om te voorkomen dat "git clone" wordt uitgevoerd met de optie "–recurse-submodules" op niet-vertrouwde repositories, en om de commando's "git apply" en "git am" niet te gebruiken met code niet geverifieerd.


Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: AB Internet Networks 2008 SL
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.