Ak sú tieto chyby zneužité, môžu útočníkom umožniť získať neoprávnený prístup k citlivým informáciám alebo vo všeobecnosti spôsobiť problémy
Nedávno bolo oznámené zverejnenie rôznych opravných verzií distribuovaný systém riadenia zdroja Git od verzie 2.38.4 po verziu 2.30.8, ktorý obsahuje dve opravy, ktoré odstraňujú známe zraniteľnosti ovplyvňujúce optimalizáciu lokálnych klonov, a príkaz „git apply“.
Ako také sa uvádza, že tieto uvoľnenia údržby riešia dva bezpečnostné problémy identifikované pod CVE-2023-22490 a CVE-2023-23946. Obe zraniteľnosti ovplyvňujú existujúce rozsahy verzií a používateľom sa dôrazne odporúča, aby si ich aktualizovali.
Útočník môže vzdialene zneužiť zraniteľnosť na zistenie informácií. Aj útočník môže
lokálne zneužiť zraniteľnosť na manipuláciu so súbormi.Na zneužitie zraniteľností sú potrebné bežné privilégiá. Obe zraniteľnosti vyžadujú interakciu používateľa.
Prvá identifikovaná zraniteľnosť je CVE-2023 22490,, Ktoré umožňuje útočníkovi, ktorý kontroluje obsah klonovaného úložiska, získať prístup k citlivým údajom v systéme používateľa. K zraniteľnosti prispievajú dve chyby:
- Prvý nedostatok umožňuje pri práci s účelovým úložiskom dosiahnuť využitie lokálnych optimalizácií klonovania aj pri použití transportu, ktorý interaguje s externými systémami.
- Druhá chyba umožňuje umiestniť symbolický odkaz namiesto adresára $GIT_DIR/objects, podobne ako zraniteľnosť CVE-2022-39253, ktorá blokovala umiestnenie symbolických odkazov v adresári $GIT_DIR/objects, ale skutočnosť, že $GIT_DIR/objects samotný adresár nebol skontrolovaný, môže ísť o symbolický odkaz.
V režime lokálneho klonu git presunie $GIT_DIR/objects do cieľového adresára dereferencovaním symbolických odkazov, čo spôsobí, že sa odkazované súbory skopírujú priamo do cieľového adresára. Prechod na používanie optimalizácie lokálnych klonov pre nemiestny prenos umožňuje zneužitie zraniteľnosti pri práci s externými úložiskami (napríklad rekurzívne zahrnutie podmodulov pomocou príkazu „git clone --recurse-submodules“ môže viesť ku klonovaniu škodlivého úložiska zabalené ako submodul v inom úložisku).
Pomocou špeciálne vytvoreného úložiska sa dá Git oklamať jeho lokálna optimalizácia klonu aj pri použití nelokálneho transportu.
Hoci Git zruší lokálne klony, ktorých zdroj $GIT_DIR/objects adresár obsahuje symbolické odkazy (cf, CVE-2022-39253), objekty samotný adresár môže byť stále symbolickým odkazom.Tieto dva je možné kombinovať a zahrnúť ľubovoľné súbory založené na cesty v súborovom systéme obete v rámci škodlivého úložiska a pracovná kópia, umožňujúca exfiltráciu dát podobne ako
CVE-2022-39253.
Druhá zistená zraniteľnosť je CVE-2023-23946 a to umožňuje prepísanie obsahu súborov mimo adresára funguje tak, že príkazu "git apply" odošlete špeciálne naformátovaný vstup.
Napríklad útok môže byť vykonaný, keď sú záplaty pripravené útočníkom spracované v aplikácii git. Aby záplaty nevytvárali súbory mimo pracovnej kópie, "git apply" blokuje spracovanie záplat, ktoré sa pokúšajú zapísať súbor pomocou symbolických odkazov. Ukázalo sa však, že táto ochrana bola obídená vytvorením symbolického odkazu.
Fedora 36 a 37 majú bezpečnostné aktualizácie v stave „testovanie“. ktoré aktualizujú 'git' na verziu 2.39.2.
Zraniteľnosti sú tiež adresujú GitLab 15.8.2, 15.7.7 a 15.6.8 v Community Edition (CE) a Enterprise Edition (EE).
GitLab klasifikuje chyby zabezpečenia ako kritické, pretože CVE-2023-23946 umožňuje spustenie ľubovoľného programového kódu v prostredí Gitaly (služba Git RPC).
Zároveň bude vložený Python Aktualizujte na verziu 3.9.16 a opravte ďalšie chyby zabezpečenia.
Konečne Pre tých, ktorí majú záujem o tom vedieť viac, môžete sledovať vydanie aktualizácií balíkov v distribúciách na stránkach debian, ubuntu, RHEL, SUSE/openSUSE, Fedora, Oblúk y FreeBSD.
Ak nie je možné nainštalovať aktualizáciu, odporúča sa ako riešenie vyhnúť sa spúšťaniu „git clone“ s možnosťou „–recurse-submodules“ na nedôveryhodných úložiskách a nepoužívať príkazy „git apply“ a „git am“. s neovereným kódom.