Byly zveřejněny opravné verze distribuovaného systému řízení zdrojů Git 2.38.4, 2.37.6, 2.36.5, 2.35.7, 2.34.7, 2.33.7, 2.32.6, 2.31.7 a 2.30.8, ve kterých byly zveřejněny dvě zranitelnosti jsou eliminovány, což má vliv na optimalizaci místního klonu a příkaz "git apply". Vydání aktualizací balíčků v distribucích můžete sledovat na stránkách Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD. Pokud není možné aktualizaci nainstalovat, doporučuje se vyhnout se spouštění „git clone“ s volbou „--recurse-submodules“ na nedůvěryhodných úložištích a nepoužívat „git apply“ a „git am" příkazy s nedůvěryhodným kódem.
- Chyba zabezpečení CVE-2023-22490 umožňuje útočníkovi, který kontroluje obsah klonovaného úložiště, získat přístup k důvěrným datům v systému uživatele. Ke vzniku zranitelnosti přispívají dvě chyby:
První nedostatek umožňuje při práci se speciálně navrženým úložištěm dosáhnout využití lokálních optimalizací klonování i při použití transportu, který interaguje s externími systémy.
Druhá chyba umožňuje umístit symbolický odkaz místo adresáře $GIT_DIR/objects, podobně jako zranitelnost CVE-2022-39253, při jejíž opravě bylo umístění symbolických odkazů v adresáři $GIT_DIR/objects zablokováno, ale fakt že samotný adresář $GIT_DIR/objects nebyl zkontrolován, může být symbolický odkaz.
V režimu lokálního klonování git přesune $GIT_DIR/objects do cílového adresáře dereferencováním symbolických odkazů, což způsobí, že se odkazované soubory zkopírují přímo do cílového adresáře. Přechod na použití optimalizace lokálních klonů pro nelokální přenos umožňuje využít zranitelnosti při práci s externími repozitáři (například rekurzivní zahrnutí submodulů pomocí příkazu „git clone --recurse-submodules“ může vést ke klonování škodlivého úložiště zabaleného jako submodul v jiném úložišti).
- Chyba zabezpečení CVE-2023-23946 umožňuje přepsání obsahu souborů mimo pracovní adresář předáním speciálně naformátovaného vstupu příkazu „git apply“. Útok lze například provést, když jsou záplaty připravené útočníkem zpracovány v „git apply“. Chcete-li záplatám zabránit ve vytváření souborů mimo pracovní kopii, "git apply" zablokuje zpracování záplat, které se pokoušejí zapsat soubor pomocí symbolických odkazů. Ukázalo se však, že tato ochrana se obešla vytvořením symbolického odkazu.
Zdroj: opennet.ru