Kung pinagsasamantalahan, ang mga kapintasan na ito ay maaaring magbigay-daan sa mga umaatake na makakuha ng hindi awtorisadong pag-access sa sensitibong impormasyon o sa pangkalahatan ay magdulot ng mga problema
Kamakailan lamang ang paglalathala ng iba't ibang bersyon ng pagwawasto ay inihayag distributed source control system Ang Git ay sumasaklaw mula sa bersyon 2.38.4 hanggang sa bersyon 2.30.8, na naglalaman ng dalawang pag-aayos na nag-aalis ng mga kilalang kahinaan na nakakaapekto sa mga lokal na pag-optimize ng clone at ang command na "git apply."
Dahil dito, nabanggit na ang mga maintenance release na ito ay upang matugunan ang dalawang isyu sa seguridad natukoy sa ilalim ng CVE-2023-22490 at CVE-2023-23946. Ang parehong mga kahinaan ay nakakaapekto sa mga umiiral na hanay ng bersyon at ang mga user ay lubos na hinihikayat na mag-update nang naaayon.
Maaaring malayuang pagsamantalahan ng isang umaatake ang isang kahinaan upang makakita ng impormasyon. Gayundin, maaari ang isang umaatake
samantalahin ang isang kahinaan nang lokal upang manipulahin ang mga file.Ang mga normal na pribilehiyo ay kinakailangan upang samantalahin ang mga kahinaan. Ang parehong mga kahinaan ay nangangailangan ng pakikipag-ugnayan ng user.
Ang unang natukoy na kahinaan ay CVE-2023-22490, na nagbibigay-daan sa isang umaatake na kumokontrol sa nilalaman ng isang naka-clone na repository na makakuha ng access sa sensitibong data sa sistema ng gumagamit. Dalawang kapintasan ang nag-aambag sa kahinaan:
- Ang unang depekto ay nagbibigay-daan, kapag nagtatrabaho sa isang layunin-built repository, upang makamit ang paggamit ng mga lokal na pag-optimize ng cloning kahit na gumagamit ng isang transportasyon na nakikipag-ugnayan sa mga panlabas na system.
- Ang pangalawang depekto ay nagbibigay-daan sa paglalagay ng simbolikong link sa halip na $GIT_DIR/objects na direktoryo, katulad ng vulnerability CVE-2022-39253, na humarang sa paglalagay ng mga simbolikong link sa $GIT_DIR/objects na direktoryo, ngunit ang katotohanan na ang $GIT_DIR/objects ang direktoryo mismo ay hindi nasuri ay maaaring isang simbolikong link.
Sa lokal na clone mode, inililipat ng git ang $GIT_DIR/objects sa target na direktoryo sa pamamagitan ng dereferencing symlinks, na nagiging sanhi ng direktang pagkopya ng mga reference na file sa target na direktoryo. Ang paglipat sa paggamit ng mga lokal na clone optimization para sa hindi lokal na transportasyon ay nagbibigay-daan sa isang kahinaan na pinagsamantalahan kapag nagtatrabaho sa mga panlabas na repositoryo (halimbawa, ang recursive na pagsasama ng mga submodules na may "git clone --recurse-submodules" na command ay maaaring humantong sa pag-clone ng isang malisyosong repository naka-package bilang isang submodule sa ibang repository).
Gamit ang isang espesyal na ginawang imbakan, ang Git ay maaaring dayain sa paggamit ang lokal na clone optimization nito kahit na gumagamit ng hindi lokal na transportasyon.
Bagama't kakanselahin ng Git ang mga lokal na clone na ang pinagmulan ay $GIT_DIR/objects direktoryo ay naglalaman ng mga simbolikong link (cf, CVE-2022-39253), ang mga bagay ng ang direktoryo mismo ay maaari pa ring maging isang simbolikong link.Ang dalawang ito ay maaaring pagsamahin upang isama ang mga arbitrary na file batay sa path sa file system ng biktima sa loob ng malisyosong repositoryo at ang gumaganang kopya, na nagpapahintulot sa data exfiltration katulad ng
CVE-2022-39253.
Ang pangalawang kahinaan na nakita ay CVE-2023-23946 at pinapayagan nito ang pag-overwrite sa nilalaman ng mga file sa labas ng direktoryo nagtatrabaho sa pamamagitan ng pagpasa ng isang espesyal na format na input sa "git apply" na utos.
Halimbawa, ang isang pag-atake ay maaaring isagawa kapag ang mga patch na inihanda ng isang umaatake ay naproseso sa git apply. Upang maiwasan ang mga patch sa paglikha ng mga file sa labas ng gumaganang kopya, hinaharangan ng "git apply" ang pagproseso ng mga patch na sumusubok na magsulat ng isang file gamit ang mga symlink. Ngunit ang proteksyon na ito ay naging circumvented sa pamamagitan ng paglikha ng isang symlink sa unang lugar.
Ang Fedora 36 at 37 ay may mga update sa seguridad sa katayuan ng 'pagsubok' na nag-update ng 'git' sa bersyon 2.39.2.
Ang mga kahinaan ay din tinutugunan nila ang GitLab 15.8.2, 15.7.7, at 15.6.8 sa Community Edition (CE) at Enterprise Edition (EE).
Inuri ng GitLab ang mga kahinaan bilang kritikal dahil pinapayagan ng CVE-2023-23946 ang pagpapatupad ng arbitrary program code sa Gitaly environment (Git RPC service).
Kasabay nito, ang naka-embed na Python ay magiging Mag-update sa bersyon 3.9.16 upang ayusin ang higit pang mga kahinaan.
Sa wakas Para sa mga interesadong malaman ang higit pa tungkol dito, maaari mong sundin ang paglabas ng mga update sa package sa mga pamamahagi sa mga pahina ng Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arko y FreeBSD.
Kung hindi posible na mag-install ng update, inirerekomenda ito bilang isang solusyon upang maiwasan ang pagpapatakbo ng "git clone" gamit ang opsyon na "–recurse-submodules" sa mga hindi pinagkakatiwalaang repositoryo, at huwag gumamit ng mga command na "git apply" at "git am" na may code na hindi na-verify.