如果被利用,這些漏洞可能允許攻擊者未經授權訪問敏感信息或通常會導致問題
最近 宣布發佈各種更正版本 分佈式源控制系統 Git 從版本 2.38.4 跨越到版本 2.30.8,包含兩個修復程序,這些修復程序刪除了影響本地克隆優化和“git apply”命令的已知漏洞。
因此,有人提到這些維護版本 是為了解決兩個安全問題 根據 CVE-2023-22490 和 CVE-2023-23946 確定。 這兩個漏洞都會影響現有版本範圍,強烈建議用戶進行相應更新。
攻擊者可以遠程利用漏洞檢測信息。 此外,攻擊者可以
利用本地漏洞來操作文件。需要普通權限才能利用這些漏洞。 這兩個漏洞都需要用戶交互。
第一個確定的漏洞是 CVE-2023,22490哪一個 允許控制克隆存儲庫內容的攻擊者訪問敏感數據 在用戶的系統上。 兩個缺陷導致了該漏洞:
- 第一個缺陷允許在使用專門構建的存儲庫時實現本地克隆優化的使用,即使在使用與外部系統交互的傳輸時也是如此。
- 第二個缺陷允許放置符號鏈接而不是 $GIT_DIR/objects 目錄,類似於漏洞 CVE-2022-39253,它阻止了符號鏈接在 $GIT_DIR/objects 目錄中的放置,但事實上 $GIT_DIR/objects目錄本身沒有被檢查可能是一個符號鏈接。
在本地克隆模式下,git 通過取消引用符號鏈接將 $GIT_DIR/objects 移動到目標目錄,導致引用的文件直接複製到目標目錄。 切換到對非本地傳輸使用本地克隆優化允許在使用外部存儲庫時利用漏洞(例如,使用“git clone --recurse-submodules”命令遞歸包含子模塊可能導致克隆惡意存儲庫打包為另一個存儲庫中的子模塊)。
使用特製的存儲庫,可以誘騙 Git 使用 即使在使用非本地傳輸時,它的本地克隆優化也是如此。
雖然 Git 會取消源 $GIT_DIR/objects 的本地克隆 目錄包含符號鏈接(cf,CVE-2022-39253), 目錄本身仍然可以是一個符號鏈接。這兩個可以結合起來包含任意文件基於 惡意存儲庫中受害者文件系統中的路徑和 工作副本,允許數據洩露類似於
CVE-2022-39253。
檢測到的第二個漏洞是 CVE-2023-23946,這允許覆蓋目錄外文件的內容 通過將特殊格式的輸入傳遞給“git apply”命令來工作。
例如,當攻擊者準備的補丁在 git apply 中處理時,就可以進行攻擊。 為了防止補丁在工作副本之外創建文件,“git apply”阻止處理試圖使用符號鏈接寫入文件的補丁。 但事實證明,這種保護最初是通過創建一個符號鏈接來規避的。
Fedora 36 和 37 的安全更新處於“測試”狀態 將“git”更新到版本 2.39.2。
漏洞也是 他們在社區版 (CE) 和企業版 (EE) 中使用 GitLab 15.8.2、15.7.7 和 15.6.8。
GitLab 將這些漏洞歸類為嚴重漏洞,因為 CVE-2023-23946 允許 在 Gitaly 環境(Git RPC 服務)中執行任意程序代碼。
同時,嵌入式 Python 將 更新至3.9.16版本,修復更多漏洞。
終於 對於那些有興趣了解更多信息的人,您可以在以下頁面上的發行版中關注軟件包更新的發布 Debian, Ubuntu, RHEL, SUSE/開放SUSE, Fedora, 拱 y FreeBSD的.
如果無法安裝更新,建議將其作為解決方法,以避免在不受信任的存儲庫上使用“–recurse-submodules”選項運行“git clone”,並且不要使用“git apply”和“git am”命令代碼未驗證。