Уязвимости в Git при клониране на подмодули и използване на git shell

Публикувани са коригиращи версии на системата за контрол на разпределения код Git 2.38.1, 2.30.6, 2.31.5, 2.32.4, 2.33.5, 2.34.5, 2.35.5, 2.36.3 и 2.37.4, които коригират две уязвимости, които се появяват при използване на командата „git clone“ в режим „—recurse-submodules“ с непроверени хранилища и при използване на интерактивния режим „git shell“. Можете да проследите пускането на актуализации на пакети в дистрибуции на страниците на Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD.

• CVE-2022-39253 – Уязвимостта позволява на атакуващ, който контролира съдържанието на клонираното хранилище, да получи достъп до поверителни данни в системата на потребителя чрез поставяне на символни връзки към файлове, представляващи интерес, в директорията $GIT_DIR/objects на клонираното хранилище. Проблемът се появява само при локално клониране (в режим "--local", използван, когато целта и изходните данни на клонинга са в един и същи дял) или при клониране на злонамерено хранилище, пакетирано като подмодул в друго хранилище (например, при рекурсивно включване на подмодули с командата "git clone" --recurse-submodules").

  Уязвимостта е причинена от факта, че в режим на клониране „--local“ git прехвърля съдържанието на $GIT_DIR/objects в целевата директория (създаване на твърди връзки или копия на файлове), извършвайки дерефериране на символни връзки (т.е. като в резултат несимволните връзки се копират в целевата директория, но директно файловете, към които сочат връзките). За да блокират уязвимостта, новите версии на git забраняват клонирането на хранилища в режим „--local“, които съдържат символни връзки в директорията $GIT_DIR/objects. Освен това стойността по подразбиране на параметъра protocol.file.allow е променена на "user", което прави операциите по клониране с помощта на file:// протокола опасни.

• CVE-2022-39260 - Препълване на цели числа във функцията split_cmdline(), използвана в командата "git shell". Проблемът може да се използва за атака на потребители, които имат „git shell“ като техен shell за вход и имат активиран интерактивен режим (създаден е файл $HOME/git-shell-commands). Използването на уязвимостта може да доведе до изпълнение на произволен код в системата при изпращане на специално проектирана команда с размер над 2 GB.

Източник: opennet.ru