Byla zveřejněna opravná vydání distribuovaného systému pro řízení zdrojů Git 2.35.2, 2.30.3, 2.31.2, 2.32.1, 2.33.2 a 2.34.2, která opravují dvě zranitelnosti:
- CVE-2022-24765 – Na víceuživatelských systémech se sdílenými adresáři byl identifikován útok, který by mohl vést ke spuštění příkazů definovaných jiným uživatelem. Útočník může vytvořit adresář „.git“ na místech, která se překrývají s ostatními uživateli (například ve sdílených adresářích nebo adresářích s dočasnými soubory) a umístit do něj konfigurační soubor „.git/config“ s konfigurací obslužných programů, které se volají při některé úlohy jsou prováděny.příkazy git (například můžete použít parametr core.fsmonitor k organizaci provádění kódu).
Obslužné rutiny definované v „.git/config“ budou volány s právy jiného uživatele, pokud tento uživatel používá git v adresáři umístěném na vyšší úrovni než podadresář „.git“ vytvořený útočníkem. Volání lze provést také nepřímo, například při použití editorů kódu, které podporují git, jako je VS Code a Atom, nebo při použití doplňků, které spouštějí „stav git“ (například Git Bash nebo posh-git). V Gitu 2.35.2 byla zranitelnost zablokována změnami v logice pro vyhledávání „.git“ v základních adresářích (adresář „.git“ se nyní nebere v úvahu, pokud jej vlastní jiný uživatel).
- CVE-2022-24767 je chyba zabezpečení specifická pro platformu Windows, která umožňuje spuštění kódu s oprávněními SYSTEM při spuštění operace Uninstall programu Git pro Windows. Problém je způsoben tím, že odinstalační program běží v dočasném adresáři, do kterého mohou zapisovat uživatelé systému. Útok je proveden umístěním náhradních knihoven DLL do dočasného adresáře, který bude načten při spuštění odinstalačního programu se SYSTEM právy.
Zdroj: opennet.ru