У разі використання цих недоліків зловмисники можуть отримати несанкціонований доступ до конфіденційної інформації або загалом спричинити проблеми
Останнім часом було оголошено про публікацію різних коригувальних версій розподілена система керування джерелами Git від версії 2.38.4 до версії 2.30.8, що містить два виправлення, які усувають відомі вразливості, що впливають на оптимізацію локального клонування, і команду "git apply".
Таким чином, згадується, що ці випуски обслуговування мають вирішити дві проблеми безпеки ідентифіковані як CVE-2023-22490 і CVE-2023-23946. Обидві вразливості впливають на існуючі діапазони версій, тому користувачам настійно рекомендується оновлювати їх відповідно.
Зловмисник може віддалено використовувати вразливість для виявлення інформації. Крім того, зловмисник може
використовувати вразливість локально для маніпулювання файлами.Для використання вразливостей потрібні звичайні привілеї. Обидві вразливості вимагають взаємодії користувача.
Перша виявлена вразливість CVE-2023-22490, котрий дозволяє зловмиснику, який контролює вміст клонованого сховища, отримати доступ до конфіденційних даних в системі користувача. Два недоліки сприяють уразливості:
- Перший недолік дозволяє при роботі зі спеціально створеним репозиторієм досягти використання оптимізацій локального клонування навіть при використанні транспорту, який взаємодіє із зовнішніми системами.
- Другий недолік дозволяє розмістити символьне посилання замість каталогу $GIT_DIR/objects, подібно до уразливості CVE-2022-39253, яка заблокувала розміщення символічних посилань у каталозі $GIT_DIR/objects, але той факт, що $GIT_DIR/objects сам каталог не перевірено, може бути символічним посиланням.
У режимі локального клонування git переміщує $GIT_DIR/objects до цільового каталогу шляхом розіменування символічних посилань, у результаті чого файли, на які посилаються, копіюються безпосередньо до цільового каталогу. Перехід до оптимізації локального клонування для нелокального транспорту дозволяє використати вразливість під час роботи із зовнішніми сховищами (наприклад, рекурсивне включення підмодулів за допомогою команди «git clone --recurse-submodules» може призвести до клонування шкідливого сховища упакований як підмодуль в іншому репозиторії).
Використовуючи спеціально створене сховище, Git можна обманом змусити використовувати оптимізація його локального клонування навіть при використанні нелокального транспорту.
Хоча Git скасує локальні клони, джерело яких $GIT_DIR/objects містить символічні посилання (cf, CVE-2022-39253), об’єкти сам каталог все ще може бути символічним посиланням.Ці два можна поєднати, щоб включити довільні файли на основі шляхи у файловій системі жертви в сховищі шкідливих програм і робоча копія, що дозволяє викрадати дані, подібно до
CVE-2022-39253.
Друга виявлена вразливість CVE-2023-23946, і це дозволяє перезаписувати вміст файлів поза каталогом працює шляхом передачі спеціально відформатованого введення в команду "git apply".
Наприклад, атака може бути здійснена, коли патчі, підготовлені зловмисником, обробляються в git apply. Щоб запобігти створенню файлів латками поза робочою копією, «git apply» блокує обробку латок, які намагаються записати файл за допомогою символічних посилань. Але виявилося, що цей захист вдалося обійти, створивши символічне посилання.
Fedora 36 і 37 мають оновлення безпеки у статусі «тестування». який оновлює 'git' до версії 2.39.2.
Також є вразливі місця вони звертаються до GitLab 15.8.2, 15.7.7 і 15.6.8 у версії Community Edition (CE) і Enterprise Edition (EE).
GitLab класифікує уразливості як критичні, оскільки CVE-2023-23946 дозволяє виконання довільного програмного коду в середовищі Gitaly (сервіс Git RPC).
У той же час, вбудований Python буде Оновіть до версії 3.9.16, щоб виправити більше вразливостей.
В кінці кінців Для тих, хто хоче дізнатися про це більше, стежити за випуском оновлень пакетів у дистрибутивах можна на сторінках Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, арка y FreeBSD.
Якщо неможливо встановити оновлення, рекомендовано як обхідний шлях уникати запуску «git clone» із параметром «–recurse-submodules» у ненадійних сховищах і не використовувати команди «git apply» і «git am». з неперевіреним кодом.