Megjelent a Git 2.35.2, 2.30.3, 2.31.2, 2.32.1, 2.33.2 és 2.34.2 elosztott forrásvezérlő rendszer javító kiadása, amelyek két sebezhetőséget javítanak ki:
- CVE-2022-24765 – A megosztott könyvtárakkal rendelkező többfelhasználós rendszereken a rendszer egy támadást azonosított, amely egy másik felhasználó által meghatározott parancsok végrehajtásához vezethet. A támadó létrehozhat egy „.git” könyvtárat olyan helyeken, amelyek átfedésben vannak más felhasználókkal (például megosztott könyvtárakban vagy ideiglenes fájlokat tartalmazó könyvtárakban), és elhelyezhetnek benne egy „.git/config” konfigurációs fájlt a kezelők konfigurációjával, amelyet akkor hívnak meg. bizonyos feladatok végrehajtásra kerülnek.git parancsok (például a core.fsmonitor paraméter segítségével megszervezheti a kódvégrehajtást).
A „.git/config” fájlban definiált kezelők egy másik felhasználó jogaival lesznek meghívva, ha a felhasználó a git-et a támadó által létrehozott „.git” alkönyvtárnál magasabb szinten lévő könyvtárban használja. A hívás közvetetten is végrehajtható, például ha olyan kódszerkesztőket használunk, amelyek támogatják a git-et, mint például a VS Code és az Atom, vagy ha olyan kiegészítőket használunk, amelyek „git status”-ot futtatnak (például Git Bash vagy posh-git). A Git 2.35.2-es verziójában a biztonsági rést a „.git” mögöttes könyvtárakban történő keresés logikájának módosítása blokkolta (a „.git” könyvtárat most nem veszik figyelembe, ha egy másik felhasználó tulajdonosa).
- A CVE-2022-24767 egy Windows-platform-specifikus biztonsági rés, amely lehetővé teszi a kód futtatását RENDSZER jogosultságokkal a Git for Windows program Eltávolítási műveletének futtatásakor. A problémát az okozza, hogy az eltávolító a rendszer felhasználói által írható ideiglenes könyvtárban fut. A támadást úgy hajtják végre, hogy a helyettesítő DLL-eket egy ideiglenes könyvtárba helyezik, amely akkor töltődik be, amikor az eltávolító RENDSZER jogokkal elindul.
Forrás: opennet.ru