Издаване на Git 2.35.2 с корекции за сигурност

Публикувани са коригиращи версии на системата за контрол на разпределения код Git 2.35.2, 2.30.3, 2.31.2, 2.32.1, 2.33.2 и 2.34.2, които коригират две уязвимости:

• CVE-2022-24765 – В многопотребителски системи със споделени директории е идентифицирана атака, която може да доведе до изпълнение на команди, дефинирани от друг потребител. Нападателят може да създаде директория „.git“ на места, които се припокриват с други потребители (например в споделени директории или директории с временни файлове) и да постави конфигурационен файл „.git/config“ в нея с конфигурацията на манипулаторите, извикани, когато определени задачи се изпълняват git команди (например, можете да използвате параметъра core.fsmonitor, за да организирате изпълнението на код).

  Манипулаторите, дефинирани в „.git/config“, ще бъдат извикани с правата на друг потребител, ако този потребител използва git в директория, разположена на ниво, по-високо от поддиректорията „.git“, създадена от атакуващия. Извикването може да бъде направено и индиректно, например, когато се използват редактори на код, които поддържат git, като VS Code и Atom, или когато се използват добавки, които изпълняват „git status“ (например Git Bash или posh-git). В Git 2.35.2 уязвимостта беше блокирана чрез промени в логиката за търсене на ".git" в основните директории (директорията ".git" вече не се взема предвид, ако е собственост на друг потребител).

• CVE-2022-24767 е специфична за платформата на Windows уязвимост, която позволява изпълнение на код със SYSTEM привилегии при изпълнение на операцията за деинсталиране на програмата Git за Windows. Проблемът е причинен от факта, че програмата за деинсталиране работи във временна директория, в която системните потребители могат да записват. Атаката се извършва чрез поставяне на заместващи DLL файлове във временна директория, която ще бъде заредена при стартиране на програмата за деинсталиране със SYSTEM права.

Източник: opennet.ru