Se han publicado versiones correctivas del sistema de control de código fuente distribuido Git 2.35.2, 2.30.3, 2.31.2, 2.32.1, 2.33.2 y 2.34.2, que corrigen dos vulnerabilidades:
- CVE-2022-24765: en sistemas multiusuario con directorios compartidos, se ha identificado un ataque que podría conducir a la ejecución de comandos definidos por otro usuario. Un atacante puede crear un directorio ".git" en lugares que se superponen con otros usuarios (por ejemplo, en directorios compartidos o directorios con archivos temporales) y colocar en él un archivo de configuración ".git/config" con la configuración de los controladores llamados cuando Se ejecutan ciertas tareas con comandos git (por ejemplo, puede usar el parámetro core.fsmonitor para organizar la ejecución del código).
Los controladores definidos en “.git/config” serán llamados con los derechos de otro usuario si ese usuario usa git en un directorio ubicado en un nivel superior al subdirectorio “.git” creado por el atacante. La llamada también se puede realizar indirectamente, por ejemplo, cuando se usan editores de código que admiten git, como VS Code y Atom, o cuando se usan complementos que ejecutan "git status" (por ejemplo, Git Bash o posh-git). En Git 2.35.2, la vulnerabilidad se bloqueó mediante cambios en la lógica para buscar ".git" en los directorios subyacentes (el directorio ".git" ahora no se tiene en cuenta si es propiedad de otro usuario).
- CVE-2022-24767 es una vulnerabilidad específica de la plataforma Windows que permite la ejecución de código con privilegios de SISTEMA al ejecutar la operación de desinstalación del programa Git para Windows. El problema se debe al hecho de que el desinstalador se ejecuta en un directorio temporal en el que los usuarios del sistema pueden escribir. El ataque se lleva a cabo colocando archivos DLL de reemplazo en un directorio temporal, que se cargará cuando se inicie el desinstalador con derechos de SISTEMA.
Fuente: opennet.ru