I patch Git 2.38.4, 2.37.6, 2.36.5, 2.35.7, 2.34.7, 2.33.7, 2.32.6, 2.31.7 è 2.30.8 sò stati liberati per u sistema di cuntrollu di codice surghjente distribuitu. Quessi patch trattanu duie vulnerabilità chì affettanu l'ottimisazioni di clonazione lucale è u cumandamentu "git apply". Pudete seguità a liberazione di l'aghjurnamenti di i pacchetti per queste distribuzioni nantu à e pagine seguenti: Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD. Sè l'installazione di l'aghjurnamentu ùn hè micca pussibule, cum'è suluzione, ricumandemu d'evità l'operazione "git clone" cù l'opzione "--recurse-submodules" cù repositorii micca affidabili, è di ùn aduprà micca i cumandamenti "git apply" è "git am" cù codice micca testatu.
- A vulnerabilità CVE-2023-22490 permette à un attaccante chì cuntrolla u cuntenutu di un repositoriu clonatu per accede à e dati sensittivi in u sistema di l'utilizatori. Dui difetti cuntribuiscenu à l'emergenza di vulnerabilità:
U primu difettu permette, quandu travaglia cù un repositoriu apposta, per ottene l'usu di l'optimizazione di clonazione lucali ancu quandu si usa un trasportu chì interagisce cù sistemi esterni.
U sicondu difettu permette a piazzamentu di un ligame simbolicu invece di u $ GIT_DIR / repertoriu d'oggetti, simile à a vulnerabilità CVE-2022-39253, a correzione per quale hà bluccatu a piazza di ligami simbolichi in u $ GIT_DIR / repertoriu di oggetti, ma ùn hà micca. verificate u fattu chì u cartulare $GIT_DIR/objects stessu pò esse un ligame simbolicu.
In u modu di clonazione lucale, git trasferisce $ GIT_DIR/oggetti à u repertoriu di destinazione dereferencing i ligami simbolichi, chì face chì i schedarii direttamente riferiti à esse copiati in u cartulare di destinazione. Cambia per utilizà ottimisazioni di clonazione lucali per u trasportu non-lucale permette a sfruttamentu di e vulnerabilità quandu si travaglia cù repositori esterni (per esempiu, includendu recursivamente sottumoduli cù u cumandimu "git clone —recurse-submodules" pò purtà à a clonazione di un repository maliziusu imballatu cum'è un submodulu). in un altru repository).
- Vulnerabilità CVE-2023-23946 permette à u cuntenutu di i fugliali fora di u repertoriu di travagliu per esse sovrascritti passendu input apposta à u cumandimu "git apply". Per esempiu, un attaccu pò esse realizatu durante u processu di patch preparatu da un attaccante in "git apply". Per bluccà i patches da a creazione di fugliali fora di a copia di travagliu, "git apply" blucca l'elaborazione di patches chì tentanu di scrive un schedariu cù ligami simbolichi. Ma si trova chì sta prutezzione pò esse bypassed da a creazione di un ligame simbolicu in u primu locu.
Source: opennet.ru
