如果被利用,这些漏洞可能允许攻击者未经授权访问敏感信息或通常会导致问题
最近 宣布发布各种更正版本 分布式源控制系统 Git 从版本 2.38.4 跨越到版本 2.30.8,包含两个修复程序,这些修复程序删除了影响本地克隆优化和“git apply”命令的已知漏洞。
因此,有人提到这些维护版本 是为了解决两个安全问题 根据 CVE-2023-22490 和 CVE-2023-23946 确定。 这两个漏洞都会影响现有版本范围,强烈建议用户进行相应更新。
攻击者可以远程利用漏洞检测信息。 此外,攻击者可以
利用本地漏洞来操作文件。需要普通权限才能利用这些漏洞。 这两个漏洞都需要用户交互。
第一个确定的漏洞是 CVE-2023-22490哪一个 允许控制克隆存储库内容的攻击者访问敏感数据 在用户的系统上。 两个缺陷导致了该漏洞:
- 第一个缺陷允许在使用专门构建的存储库时实现本地克隆优化的使用,即使在使用与外部系统交互的传输时也是如此。
- 第二个缺陷允许放置符号链接而不是 $GIT_DIR/objects 目录,类似于漏洞 CVE-2022-39253,它阻止了符号链接在 $GIT_DIR/objects 目录中的放置,但事实上 $GIT_DIR/objects目录本身没有被检查可能是一个符号链接。
在本地克隆模式下,git 通过取消引用符号链接将 $GIT_DIR/objects 移动到目标目录,导致引用的文件直接复制到目标目录。 切换到对非本地传输使用本地克隆优化允许在使用外部存储库时利用漏洞(例如,使用“git clone --recurse-submodules”命令递归包含子模块可能导致克隆恶意存储库打包为另一个存储库中的子模块)。
使用特制的存储库,可以诱骗 Git 使用 即使在使用非本地传输时,它的本地克隆优化也是如此。
虽然 Git 会取消源 $GIT_DIR/objects 的本地克隆 目录包含符号链接(cf,CVE-2022-39253), 目录本身仍然可以是一个符号链接。这两个可以结合起来包含任意文件基于 恶意存储库中受害者文件系统中的路径和 工作副本,允许数据泄露类似于
CVE-2022 - 39253。
检测到的第二个漏洞是 CVE-2023-23946,这允许覆盖目录外文件的内容 通过将特殊格式的输入传递给“git apply”命令来工作。
例如,当攻击者准备的补丁在 git apply 中处理时,就可以进行攻击。 为了防止补丁在工作副本之外创建文件,“git apply”阻止处理试图使用符号链接写入文件的补丁。 但事实证明,这种保护最初是通过创建一个符号链接来规避的。
Fedora 36 和 37 的安全更新处于“测试”状态 将“git”更新到版本 2.39.2。
漏洞也是 他们在社区版 (CE) 和企业版 (EE) 中使用 GitLab 15.8.2、15.7.7 和 15.6.8。
GitLab 将这些漏洞归类为严重漏洞,因为 CVE-2023-23946 允许 在 Gitaly 环境(Git RPC 服务)中执行任意程序代码。
同时,嵌入式 Python 将 更新至3.9.16版本,修复更多漏洞。
最后 对于那些有兴趣了解更多信息的人,您可以在以下页面上的发行版中关注软件包更新的发布 Debian, Ubuntu, RHEL, SUSE/开放SUSE, Fedora, 拱 y FreeBSD的.
如果无法安装更新,建议将其作为解决方法,以避免在不受信任的存储库上使用“–recurse-submodules”选项运行“git clone”,并且不要使用“git apply”和“git am”命令代码未验证。