При эксплуатации эти недостатки могут позволить злоумышленникам получить несанкционированный доступ к конфиденциальной информации или вообще вызвать проблемы.
Недавно анонсировано издание различных корректирующих версий распределенная система управления версиями Git от версии 2.38.4 до версии 2.30.8, содержащий два исправления, устраняющих известные уязвимости, влияющие на оптимизацию локального клонирования, и команду «git apply».
Таким образом, упоминается, что эти отладочные выпуски должны решить две проблемы безопасности идентифицированы как CVE-2023-22490 и CVE-2023-23946. Обе уязвимости затрагивают существующие диапазоны версий, и пользователям настоятельно рекомендуется обновить их соответствующим образом.
Злоумышленник может удаленно использовать уязвимость для обнаружения информации. Также злоумышленник может
локально использовать уязвимость для манипулирования файлами.Для использования уязвимостей требуются обычные привилегии. Обе уязвимости требуют взаимодействия с пользователем.
Первая выявленная уязвимость CVE-2023-22490, Который позволяет злоумышленнику, контролирующему содержимое клонированного репозитория, получить доступ к конфиденциальным данным в системе пользователя. Уязвимости способствуют два недостатка:
- Первый недостаток позволяет при работе со специально созданным репозиторием добиться использования оптимизаций локального клонирования даже при использовании транспорта, взаимодействующего с внешними системами.
- Вторая уязвимость позволяет разместить символическую ссылку вместо каталога $GIT_DIR/objects, аналогично уязвимости CVE-2022-39253, которая блокировала размещение символических ссылок в каталоге $GIT_DIR/objects, но тот факт, что каталог $GIT_DIR/objects сам каталог не проверялся, возможно, это символическая ссылка.
В режиме локального клонирования git перемещает $GIT_DIR/objects в целевой каталог, разыменовывая символические ссылки, в результате чего файлы, на которые ссылаются, копируются непосредственно в целевой каталог. Переход на использование оптимизаций локального клонирования для нелокального транспорта позволяет эксплуатировать уязвимость при работе с внешними репозиториями (например, рекурсивное включение подмодулей командой «git clone --recurse-submodules» может привести к клонированию вредоносного репозитория упакован как подмодуль в другом репозитории).
Используя специально созданный репозиторий, Git можно заставить использовать оптимизация его локального клона даже при использовании нелокального транспорта.
Хотя Git отменит локальные клоны, источник которых $GIT_DIR/objects содержит символические ссылки (см. CVE-2022-39253), объекты сам каталог все еще может быть символической ссылкой.Эти два могут быть объединены для включения произвольных файлов на основе пути в файловой системе жертвы внутри вредоносного репозитория и рабочая копия, позволяющая эксфильтрацию данных, аналогичную
CVE-2022-39253.
Вторая обнаруженная уязвимость CVE-2023-23946 и позволяет перезаписывать содержимое файлов вне каталога. работает, передавая специально отформатированный ввод команде «git apply».
Например, атака может быть осуществлена при обработке подготовленных злоумышленником патчей в git apply. Чтобы патчи не создавали файлы за пределами рабочей копии, «git apply» блокирует обработку патчей, пытающихся записать файл с помощью символических ссылок. Но оказалось, что эту защиту можно обойти, создав симлинк.
Fedora 36 и 37 имеют обновления безопасности в статусе «тестирование». которые обновляют «git» до версии 2.39.2.
Уязвимости также они обращаются к GitLab 15.8.2, 15.7.7 и 15.6.8 в Community Edition (CE) и Enterprise Edition (EE).
GitLab классифицирует уязвимости как критические, поскольку CVE-2023-23946 позволяет выполнение произвольного программного кода в среде Gitaly (сервис Git RPC).
В то же время встроенный Python будет Обновите до версии 3.9.16, чтобы исправить больше уязвимостей.
В конце концов Для тех, кому интересно узнать об этом больше, вы можете следить за выходом обновлений пакетов в дистрибутивах на страницах Debian, Ubuntu, RHEL, SUSE/открытьSUSE, Fedora, Арка y FreeBSD.
Если установить обновление невозможно, в качестве обходного пути рекомендуется избегать запуска «git clone» с параметром «–recurse-submodules» в ненадежных репозиториях, а также не использовать команды «git apply» и «git am». с не проверенным кодом.