Leiðréttingar á dreifða upprunastýringarkerfinu Git 2.39.1, 2.38.3, 2.37.5, 2.36.4, 2.35.6, 2.34.6, 2.33.6, 2.32.5, 2.31.6 og 2.30.7 hafa verið birt, þar sem útrýmt var tveimur veikleikum sem gera þér kleift að skipuleggja framkvæmd kóðans þíns á kerfi notandans þegar þú notar „git archive“ skipunina og vinnur með ótraustum ytri geymslum. Veikleikarnir stafa af villum í commit sniðkóðanum og þáttun á ".gitattributes" skránni, sem, þegar unnið er utanaðkomandi geymslur, getur leitt til skrifunar í minni sem er utan hrúgu og lestrar handahófskenndra gagna úr minni.
Báðir veikleikarnir komu í ljós við öryggisúttekt á Git kóðagrunninum sem framkvæmd var af X41 fyrir hönd OSTIF (Open Source Technology Improvement Fund), sem var stofnaður til að styrkja öryggi opinna verkefna. Auk þessara tveggja mikilvægu atriða sem fjallað er um hér að neðan fann úttektin einnig eitt hættulegt varnarleysi, eitt miðlungs varnarleysi og fjögur óhættuleg atriði. Einnig voru gerðar 27 tillögur til að bæta öryggi kóðagrunnsins.
- CVE-2022-41903: Heiltöluflæði í kóða upplýsingasniðskóða sem á sér stað þegar meðhöndlað er stór offsetgildi í fyllingaraðgerðum eins og "%<(", "%<|(", "%>(", "%>> (" og "%><( )". Heiltöluflæði á sér stað í format_and_pad_commit() fallinu vegna notkunar á int fyrir size_t breytuna, sem, þegar kölluð er af memcpy(), tekur þátt í að ákvarða offsetstærð blokkarinnar sem er afritað.
Varnarleysið lýsir sér bæði þegar beint er kallað með sérhönnuðum sniðbreytum (til dæmis þegar „git log —format=...“ er keyrt) og þegar sniði er óbeint beitt við framkvæmd „git archive“ skipunarinnar í geymslu. stjórnað af árásarmanninum. Í öðru tilvikinu eru sniðbreytingar tilgreindir í gegnum export-subst færibreytuna í „.gitattributes“ skránni, sem árásarmaðurinn getur sett í geymsluna sína. Málið gæti verið notað til að lesa og skrifa handahófskennd svæði á haugnum og leitt til keyrslu árásarkóða þegar unnið er með ótraustum geymslum.
- CVE-2022-23521: Heiltöluflæði eiga sér stað við þáttun á innihaldi „.gitattributes“ skráa í geymslu, eins og sést þegar unnið er úr mjög miklum fjölda skráarslóðamynstra eða fjölda eiginda með sama mynstri, eða þegar verið er að þátta mjög stór eiginleikanöfn. Málið er hægt að nota til að lesa og skrifa handahófskennd svæði á haugnum og leiða til þess að árásarkóða sé keyrt þegar unnið er með ótraust geymslu, þar sem árásarmaður getur sett sérútbúna .gitattributes skrá og tryggt að hún verði verðtryggð.
Hægt er að fylgjast með útgáfu pakkauppfærslu í dreifingum á síðunum: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD, NetBSD. Til að draga úr hættu á árás ef þér tekst ekki að setja upp uppfærslu tímanlega, er mælt með því að forðast að vinna með ótraustar geymslur og nota „git archive“ skipunina. Það er mikilvægt að muna að "git archive" skipunina er hægt að keyra óbeint, til dæmis frá git púknum. Til að slökkva á keyrslu "git archive" í git daemon, breyttu daemon.uploadArch færibreytunni með skipuninni "git config -global daemon.uploadArch false".
Að auki geturðu tekið eftir öðrum varnarleysi (CVE-2022-41953) í Git fyrir Windows vörunni, sem gerir þér kleift að skipuleggja keyrslu kóða þegar þú klónar óstaðfestar ytri geymslur í gegnum grafíska viðmótið. Vandamálið stafar af því að Git GUI fyrir Windows keyrir sjálfkrafa sumar eftirvinnsluskipanir eftir "checkout" aðgerð, eins og að keyra villuleitarforrit til að athuga stafsetningu, jafnvel þó að leitarslóðir fyrir villuleitarskrána innihalda klónaða vinnutréð (árás snýst um að bæta villuleit við vinnutréð í geymslunni).
Heimild: opennet.ru