Hvis de utnyttes, kan disse feilene tillate angripere å få uautorisert tilgang til sensitiv informasjon eller generelt forårsake problemer
nylig publisering av ulike korrigerende versjoner ble annonsert distribuert kildekontrollsystem Git spenner fra versjon 2.38.4 til versjon 2.30.8, som inneholder to rettelser som fjerner kjente sårbarheter som påvirker lokale kloneoptimaliseringer og "git apply"-kommandoen.
Som sådan er det nevnt at disse vedlikeholdsutgivelsene skal ta opp to sikkerhetsproblemer identifisert under CVE-2023-22490 og CVE-2023-23946. Begge sårbarhetene påvirker eksisterende versjonsserier, og brukere oppfordres sterkt til å oppdatere tilsvarende.
En angriper kan eksternt utnytte en sårbarhet for å oppdage informasjon. Det kan også en angriper
utnytte en sårbarhet lokalt for å manipulere filer.Normale rettigheter kreves for å utnytte sårbarhetene. Begge sårbarhetene krever brukerinteraksjon.
Den første identifiserte sårbarheten er CVE-2023-22490, Som lar en angriper som kontrollerer innholdet i et klonet depot få tilgang til sensitive data på en brukers system. To feil bidrar til sårbarheten:
- Den første feilen gjør det mulig å oppnå bruk av lokale kloningsoptimaliseringer når du arbeider med et spesialbygd depot, selv når du bruker en transport som samhandler med eksterne systemer.
- Den andre feilen tillater å plassere en symbolsk lenke i stedet for $GIT_DIR/objects-katalogen, lik sårbarheten CVE-2022-39253, som blokkerte plassering av symbolske lenker i $GIT_DIR/objects-katalogen, men det faktum at $GIT_DIR/objects selve katalogen ble ikke sjekket kan være en symbolsk lenke.
I lokal klonemodus flytter git $GIT_DIR/objects til målkatalogen ved å referere til symbolkoblinger, noe som fører til at de refererte filene kopieres direkte til målkatalogen. Bytte til bruk av lokale klonoptimaliseringer for ikke-lokal transport gjør at en sårbarhet kan utnyttes når du arbeider med eksterne depoter (for eksempel kan rekursiv inkludering av undermoduler med kommandoen "git clone --recurse-submodules" føre til kloning av et skadelig depot pakket som en undermodul i et annet depot).
Ved å bruke et spesiallaget depot, kan Git bli lurt til å bruke dens lokale klonoptimalisering selv når du bruker en ikke-lokal transport.
Selv om Git vil kansellere lokale kloner hvis kilde $GIT_DIR/objekter katalogen inneholder symbolske lenker (jf. CVE-2022-39253), objektene til katalogen i seg selv kan fortsatt være en symbolsk lenke.Disse to kan kombineres for å inkludere vilkårlige filer basert på stier i offerets filsystem i det skadelige depotet og arbeidskopi, som tillater dataeksfiltrering som ligner på
CVE-2022-39253.
Den andre sårbarheten som ble oppdaget er CVE-2023-23946 og dette gjør det mulig å overskrive innholdet i filer utenfor katalogen arbeider ved å sende en spesielt formatert inngang til "git apply"-kommandoen.
For eksempel kan et angrep utføres når patcher utarbeidet av en angriper behandles i git application. For å forhindre at patcher oppretter filer utenfor arbeidskopien, blokkerer "git apply" behandling av patcher som forsøker å skrive en fil ved hjelp av symbolkoblinger. Men denne beskyttelsen viste seg å bli omgått ved å lage en symbolkobling i utgangspunktet.
Fedora 36 og 37 har sikkerhetsoppdateringer i "testing"-status som oppdaterer 'git' til versjon 2.39.2.
Sårbarheter er det også de adresserer med GitLab 15.8.2, 15.7.7 og 15.6.8 i Community Edition (CE) og Enterprise Edition (EE).
GitLab klassifiserer sårbarhetene som kritiske fordi CVE-2023-23946 tillater utførelse av vilkårlig programkode i Gitaly-miljøet (Git RPC-tjeneste).
Samtidig vil innebygd Python være Oppdater til versjon 3.9.16 for å fikse flere sårbarheter.
Endelig For de som er interessert i å vite mer om det, kan du følge utgivelsen av pakkeoppdateringer i distribusjoner på sidene til Debian, Ubuntu, RHEL, SUSE / openSUSE, Fedora, Arch y FreeBSD.
Hvis det ikke er mulig å installere en oppdatering, anbefales det som en løsning å unngå å kjøre "git clone" med alternativet "–recurse-submodules" på uklarerte arkiver, og ikke bruke kommandoene "git application" og "git am". med kode som ikke er bekreftet.