U zbuluan dy dobësi në Git që çojnë në rrjedhje dhe mbishkrim të të dhënave

Darkcrizt

Minuta 4

dobësi

Nëse shfrytëzohen, këto të meta mund t'i lejojnë sulmuesit të kenë akses të paautorizuar në informacione të ndjeshme ose në përgjithësi të shkaktojnë probleme

kohët e fundit u njoftua publikimi i versioneve të ndryshme korrigjuese sistemi i kontrollit të burimit të shpërndarë Git që shtrihet nga versioni 2.38.4 në versionin 2.30.8, që përmban dy rregullime që heqin dobësitë e njohura që prekin optimizimet lokale të kloneve dhe komandën "git aplikoni".

Si e tillë, përmendet se këto lëshime të mirëmbajtjes do të adresojnë dy çështje sigurie identifikuar sipas CVE-2023-22490 dhe CVE-2023-23946. Të dy dobësitë ndikojnë në diapazonin ekzistues të versioneve dhe përdoruesit inkurajohen fuqimisht të përditësojnë në përputhje me rrethanat.

Një sulmues mund të shfrytëzojë në distancë një dobësi për të zbuluar informacionin. Gjithashtu, një sulmues mund
shfrytëzojnë një dobësi në nivel lokal për të manipuluar skedarët.

Kërkohen privilegje normale për të shfrytëzuar dobësitë. Të dy dobësitë kërkojnë ndërveprimin e përdoruesit.

Dobësia e parë e identifikuar është CVE-2023-22490, të cilat lejon një sulmues që kontrollon përmbajtjen e një depoje të klonuar të fitojë akses në të dhënat e ndjeshme në sistemin e një përdoruesi. Dy të meta kontribuojnë në cenueshmërinë:

  • E meta e parë lejon, kur punoni me një depo të ndërtuar me qëllim, të arrini përdorimin e optimizimeve lokale të klonimit edhe kur përdorni një transport që ndërvepron me sistemet e jashtme.
  • E meta e dytë lejon vendosjen e një lidhjeje simbolike në vend të drejtorisë $GIT_DIR/objects, e ngjashme me cenueshmërinë CVE-2022-39253, e cila bllokoi vendosjen e lidhjeve simbolike në direktorinë $GIT_DIR/objects, por fakti që $GIT_DIR/objects vetë drejtoria nuk u kontrollua mund të jetë një lidhje simbolike.

Në modalitetin e klonimit lokal, git zhvendos $GIT_DIR/objektet në drejtorinë e synuar duke çreferencuar lidhjet simbolike, duke bërë që skedarët e referuar të kopjohen drejtpërdrejt në direktorinë e synuar. Kalimi në përdorimin e optimizimeve lokale të kloneve për transportin jo-lokal mundëson shfrytëzimin e një cenueshmërie kur punoni me depo të jashtme (për shembull, përfshirja rekursive e nënmoduleve me komandën "git clone --recurse-submodules" mund të çojë në klonimin e një depoje me qëllim të keq paketuar si nënmodul në një depo tjetër).

Duke përdorur një depo të krijuar posaçërisht, Git mund të mashtrohet në përdorim optimizimi i tij lokal i klonit edhe kur përdoret një transport jo lokal.
Megjithëse Git do të anulojë klonet lokale, burimi i të cilëve $GIT_DIR/objektet drejtoria përmban lidhje simbolike (cf, CVE-2022-39253), objektet e vetë drejtoria mund të jetë ende një lidhje simbolike.

Këto të dyja mund të kombinohen për të përfshirë skedarë arbitrare bazuar në shtigjet në sistemin e skedarëve të viktimës brenda depove me qëllim të keq dhe kopje pune, duke lejuar ekfiltrimin e të dhënave të ngjashme me
CVE-2022-39253

Dobësia e dytë e zbuluar është CVE-2023-23946 dhe kjo lejon mbishkrimin e përmbajtjes së skedarëve jashtë drejtorisë duke punuar duke kaluar një hyrje të formatuar posaçërisht në komandën "git application".

Për shembull, një sulm mund të kryhet kur arnimet e përgatitura nga një sulmues përpunohen në git application. Për të parandaluar që arna të krijojnë skedarë jashtë kopjes së punës, "git apply" bllokon përpunimin e arnimeve që përpiqen të shkruajnë një skedar duke përdorur lidhjet simptome. Por kjo mbrojtje doli të anashkalohej duke krijuar në radhë të parë një lidhje simbolike.

Fedora 36 dhe 37 kanë përditësime sigurie në statusin e "testimit". të cilat përditësojnë 'git' në versionin 2.39.2.

Dobësitë janë gjithashtu ata adresohen me GitLab 15.8.2, 15.7.7 dhe 15.6.8 në Botimin e Komunitetit (CE) dhe Edicionin Enterprise (EE).

GitLab i klasifikon dobësitë si kritike sepse CVE-2023-23946 lejon ekzekutimi i kodit arbitrar të programit në mjedisin Gitaly (shërbimi Git RPC).
Në të njëjtën kohë, Python i ngulitur do të jetë Përditëso në versionin 3.9.16 për të rregulluar më shumë dobësi.

Më në fund Për ata që janë të interesuar të dinë më shumë rreth tij, mund të ndiqni lëshimin e përditësimeve të paketave në shpërndarjet në faqet e DebianUbuntuRHELSUSE/openSUSEFedoraHarkFreeBSD.

Nëse nuk është e mundur të instaloni një përditësim, rekomandohet si një zgjidhje për të shmangur ekzekutimin e "git clone" me opsionin "–recurse-submodules" në depo të pabesueshme dhe të mos përdorni komandat "git apply" dhe "git am". me kod të pa verifikuar.


Lini komentin tuaj

Adresa juaj e emailit nuk do të publikohet. Fusha e kërkuar janë shënuar me *

*

*

  1. Përgjegjës për të dhënat: AB Internet Networks 2008 SL
  2. Qëllimi i të dhënave: Kontrolloni SPAM, menaxhimin e komenteve.
  3. Legjitimimi: Pëlqimi juaj
  4. Komunikimi i të dhënave: Të dhënat nuk do t'u komunikohen palëve të treta përveç me detyrim ligjor.
  5. Ruajtja e të dhënave: Baza e të dhënave e organizuar nga Occentus Networks (BE)
  6. Të drejtat: Në çdo kohë mund të kufizoni, rikuperoni dhe fshini informacionin tuaj.