Estis publikigitaj korektaj eldonoj de la distribua fontkontrolsistemo Git 2.35.2, 2.30.3, 2.31.2, 2.32.1, 2.33.2 kaj 2.34.2, kiuj riparas du vundeblecojn:
- CVE-2022-24765 - Sur mult-uzantaj sistemoj kun komunaj dosierujoj, atako estis identigita, kiu povus konduki al la plenumo de ordonoj difinitaj de alia uzanto. Atakanto povas krei ".git" dosierujon en lokoj kiuj koincidas kun aliaj uzantoj (ekzemple, en komunaj dosierujoj aŭ dosierujoj kun provizoraj dosieroj) kaj meti ".git/config" agordan dosieron en ĝi kun la agordo de pritraktiloj nomita kiam certaj taskoj estas ekzekutitaj.git-komandoj (ekzemple, vi povas uzi la parametron core.fsmonitor por organizi kodan ekzekuton).
La pritraktiloj difinitaj en ".git/config" estos nomitaj kun la rajtoj de alia uzanto se tiu uzanto uzas git en dosierujo situanta je nivelo pli alta ol la ".git" subdosierujo kreita de la atakanto. La alvoko ankaŭ povas esti farita nerekte, ekzemple, kiam oni uzas kodredaktilojn kiuj subtenas git, kiel VS Code kaj Atom, aŭ kiam oni uzas aldonaĵojn, kiuj funkcias "git status" (ekzemple, Git Bash aŭ posh-git). En Git 2.35.2, la vundebleco estis blokita per ŝanĝoj al la logiko por serĉi ".git" en subaj dosierujoj (la dosierujo ".git" nun ne estas konsiderata se ĝi estas posedata de alia uzanto).
- CVE-2022-24767 estas Vindoza platform-specifa vundebleco, kiu permesas ekzekuton de kodo kun SYSTEM-privilegioj dum funkciado de la operacio Malinstali de la programo Git por Vindozo. La problemo estas kaŭzita de la fakto, ke la malinstalilo funkcias en provizora dosierujo, kiu estas skribebla de sistemuzantoj. La atako estas efektivigita metante anstataŭajn DLL-ojn en provizoran dosierujon, kiu estos ŝarĝita kiam malinstalilo estas lanĉita kun SISTEMA-rajtoj.
fonto: opennet.ru