หากถูกโจมตี ข้อบกพร่องเหล่านี้อาจทำให้ผู้โจมตีเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต หรือก่อให้เกิดปัญหาโดยทั่วไป
เมื่อเร็ว ๆ นี้ มีการประกาศการตีพิมพ์ฉบับแก้ไขต่างๆ ระบบควบคุมแหล่งที่มาแบบกระจาย Git ขยายจากเวอร์ชัน 2.38.4 เป็นเวอร์ชัน 2.30.8ซึ่งมีการแก้ไข XNUMX รายการที่ลบช่องโหว่ที่ทราบซึ่งส่งผลต่อการเพิ่มประสิทธิภาพการโคลนในเครื่องและคำสั่ง "git apply"
ดังนั้นจึงมีการกล่าวถึงการเผยแพร่การบำรุงรักษาเหล่านี้ คือการแก้ไขปัญหาด้านความปลอดภัยสองประการ ระบุภายใต้ CVE-2023-22490 และ CVE-2023-23946 ช่องโหว่ทั้งสองส่งผลกระทบต่อช่วงเวอร์ชันที่มีอยู่และขอแนะนำให้ผู้ใช้อัปเดตตามนั้น
ผู้โจมตีสามารถใช้ช่องโหว่จากระยะไกลเพื่อตรวจจับข้อมูล นอกจากนี้ ผู้โจมตียังสามารถ
ใช้ประโยชน์จากช่องโหว่ในเครื่องเพื่อจัดการไฟล์ต้องใช้สิทธิ์ปกติเพื่อใช้ประโยชน์จากช่องโหว่ ช่องโหว่ทั้งสองต้องมีการโต้ตอบกับผู้ใช้
ช่องโหว่แรกที่พบคือ CVE-2023-22490ซึ่ง อนุญาตให้ผู้โจมตีที่ควบคุมเนื้อหาของที่เก็บโคลนสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนได้ ในระบบของผู้ใช้ ข้อบกพร่องสองประการทำให้เกิดช่องโหว่:
- ข้อบกพร่องประการแรกช่วยให้สามารถใช้งานการเพิ่มประสิทธิภาพการโคลนเฉพาะที่เมื่อทำงานกับพื้นที่เก็บข้อมูลที่สร้างขึ้นตามวัตถุประสงค์ แม้ว่าจะใช้การขนส่งที่โต้ตอบกับระบบภายนอกก็ตาม
- ข้อบกพร่องที่สองอนุญาตให้วางลิงก์สัญลักษณ์แทนไดเร็กทอรี $GIT_DIR/objects ซึ่งคล้ายกับช่องโหว่ CVE-2022-39253 ซึ่งบล็อกการวางลิงก์สัญลักษณ์ในไดเร็กทอรี $GIT_DIR/objects แต่ข้อเท็จจริงที่ว่า $GIT_DIR/objects ไม่ได้ตรวจสอบไดเร็กทอรีเอง อาจเป็นลิงก์สัญลักษณ์
ในโหมดโลคัลโคลน git จะย้าย $GIT_DIR/objects ไปยังไดเร็กทอรีเป้าหมายโดยยกเลิกการอ้างอิง symlink ทำให้ไฟล์ที่อ้างอิงถูกคัดลอกไปยังไดเร็กทอรีเป้าหมายโดยตรง การเปลี่ยนไปใช้การปรับให้เหมาะสมของโคลนในเครื่องสำหรับการขนส่งที่ไม่ใช่ในเครื่องทำให้ช่องโหว่ถูกโจมตีเมื่อทำงานกับที่เก็บภายนอก (ตัวอย่างเช่น การรวมซ้ำของโมดูลย่อยด้วยคำสั่ง "git clone --recurse-submodules" อาจนำไปสู่การโคลนที่เก็บที่เป็นอันตราย บรรจุเป็นโมดูลย่อยในที่เก็บอื่น)
การใช้พื้นที่เก็บข้อมูลที่สร้างขึ้นเป็นพิเศษ Git อาจถูกหลอกใช้ การเพิ่มประสิทธิภาพการโคลนในเครื่องแม้ว่าจะใช้การขนส่งที่ไม่ใช่ในเครื่องก็ตาม
แม้ว่า Git จะยกเลิกการโคลนในเครื่องที่มีแหล่งที่มา $GIT_DIR/objects ไดเร็กทอรีมีลิงก์สัญลักษณ์ (cf, CVE-2022-39253), วัตถุของ ไดเร็กทอรีเองยังคงสามารถเป็นลิงก์สัญลักษณ์ได้สามารถรวมสองสิ่งนี้เข้าด้วยกันเพื่อรวมไฟล์ตามอำเภอใจ เส้นทางในระบบไฟล์ของเหยื่อภายในพื้นที่เก็บข้อมูลที่เป็นอันตรายและ สำเนาการทำงานทำให้สามารถกรองข้อมูลได้คล้ายกับ
CVE-2022-39253
ช่องโหว่ที่สองที่ตรวจพบคือ CVE-2023-23946 และอนุญาตให้เขียนทับเนื้อหาของไฟล์นอกไดเร็กทอรี ทำงานโดยส่งผ่านอินพุตที่มีรูปแบบพิเศษไปยังคำสั่ง "git apply"
ตัวอย่างเช่น การโจมตีสามารถดำเนินการได้เมื่อแพตช์ที่เตรียมโดยผู้โจมตีได้รับการประมวลผลโดยใช้ git เพื่อป้องกันไม่ให้แพตช์สร้างไฟล์นอกสำเนาที่ใช้งานได้ "git apply" จะบล็อกการประมวลผลแพตช์ที่พยายามเขียนไฟล์โดยใช้ symlink แต่การป้องกันนี้ถูกหลีกเลี่ยงโดยการสร้าง symlink ตั้งแต่แรก
Fedora 36 และ 37 มีการอัปเดตความปลอดภัยในสถานะ 'ทดสอบ' ซึ่งอัปเดต 'git' เป็นเวอร์ชัน 2.39.2
ช่องโหว่ก็เช่นกัน พวกเขาจัดการกับ GitLab 15.8.2, 15.7.7 และ 15.6.8 ใน Community Edition (CE) และ Enterprise Edition (EE)
GitLab จัดประเภทช่องโหว่ว่าวิกฤต เนื่องจาก CVE-2023-23946 อนุญาตให้ การดำเนินการของรหัสโปรแกรมโดยพลการในสภาพแวดล้อม Gitaly (บริการ Git RPC)
ในเวลาเดียวกัน Python ที่ฝังตัวจะเป็น อัปเดตเป็นเวอร์ชัน 3.9.16 เพื่อแก้ไขช่องโหว่เพิ่มเติม
ในที่สุด สำหรับผู้สนใจต้องการทราบข้อมูลเพิ่มเติมเกี่ยวกับเรื่องนี้คุณสามารถติดตามการเปิดตัวการอัปเดตแพ็คเกจในการแจกจ่ายได้ที่หน้าของ debian, อูบุนตู, RHEL, SUSE/เปิดSUSE, Fedora, โค้ง y FreeBSD.
หากไม่สามารถติดตั้งการอัปเดตได้ ขอแนะนำให้ใช้วิธีแก้ปัญหาเพื่อหลีกเลี่ยงการเรียกใช้ "git clone" ด้วยตัวเลือก "–recurse-submodules" บนที่เก็บที่ไม่น่าเชื่อถือ และห้ามใช้คำสั่ง "git apply" และ "git am" ด้วยรหัสที่ไม่ได้ตรวจสอบ