Апублікаваныя карэкціруючыя выпускі размеркаванай сістэмы кіравання зыходнымі тэкстамі Git 2.38.4, 2.37.6, 2.36.5, 2.35.7, 2.34.7, 2.33.7, 2.32.6, 2.31.7 і 2.30.8, у якіх узв. , якія закранаюць аптымізацыі пры лакальным кланаванні і каманду «git apply». Прасачыць за выпускам абнаўленняў пакетаў у дыстрыбутывах можна на старонках Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD. Калі ўсталяваць абнаўленне не ўяўляецца магчымым, у якасці абыходных мер рэкамендуецца пазбягаць выкананні аперацыі "git clone" з опцыяй "-recurse-submodules" з рэпазітарамі, якія не вартыя даверу, а таксама не выкарыстоўваць каманды "git apply" і "git am" з неправераным кодам.
- Уразлівасць CVE-2023-22490 дазваляе атакаваламу, кантраляваламу змесціва кланаванага рэпазітара, атрымаць доступ да канфідэнцыйных дадзеных на сістэме карыстача. З'яўленню ўразлівасці спрыяюць дзве недапрацоўкі:
Першая недапрацоўка дазваляе пры працы са спецыяльна аформленым рэпазітаром дабіцца прымянення лакальных аптымізацый кланавання нават пры выкарыстанні транспарту, які ўзаемадзейнічае са знешнімі сістэмамі.
Другая недапрацоўка, дапушчае размяшчэнне сімвалічнай спасылкі замест каталога $GIT_DIR/objects па аналогіі з уразлівасцю CVE-2022-39253, у выпраўленні якой блакавалася размяшчэнне сімвалічных спасылак у каталогу $GIT_DIR/objects, але не правяраўся факт таго, што сам каталог $GIT_DIR/object можа быць сімвалічнай спасылкай.
У рэжыме лакальнага кланавання git пераносіць $GIT_DIR/objects у мэтавы каталог, выконваючы разнайменне сімвалічных спасылак, што прыводзіць да таго, што ў мэтавы каталог капіююцца непасрэдна файлы, на якія паказваюць спасылкі. Пераключэнне на ўжыванне лакальных аптымізацый кланавання для нелакальнага транспарта дазваляе эксплуатаваць уразлівасць пры працы з вонкавымі рэпазітарамі (напрыклад, рэкурсіўнае ўключэнне субмодуляў камандай «git clone — recurse-submodules» можа прывесці да кланавання шкоднаснага рэпазітара, упакаванага ў форме субмодуля ў іншым рэпазіты.
- Уразлівасць CVE-2023-23946 дазваляе перазапісаць змесціва файлаў па-за працоўным каталогам праз перадачу адмыслова аформленага ўводу ў каманду «git apply». Напрыклад, напад можа быць здзейснена пры апрацоўцы ў "git apply" падрыхтаваных зламыснікам патчаў. Для блакавання стварэння патчамі файлаў па-за працоўнай копіяй, «git apply» блакуе апрацоўку патчаў, якія спрабуюць запісаць файл з выкарыстаннем сімвалічных спасылак. Але гэтую абарону аказалася можна абысці, стварыўшы сімвалічную спасылку ў першую чаргу.
Крыніца: opennet.ru