Sono state pubblicate le versioni correttive del sistema di controllo del codice sorgente distribuito Git 2.38.1, 2.30.6, 2.31.5, 2.32.4, 2.33.5, 2.34.5, 2.35.5, 2.36.3 e 2.37.4, che risolvono due vulnerabilità, che compaiono quando si utilizza il comando “git clone” nella modalità “—recurse-submodules” con repository non controllati e quando si utilizza la modalità interattiva “git shell”. Puoi tenere traccia del rilascio degli aggiornamenti dei pacchetti nelle distribuzioni sulle pagine di Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD.
- CVE-2022-39253 - La vulnerabilità consente a un utente malintenzionato che controlla il contenuto del repository clonato di ottenere l'accesso ai dati riservati sul sistema dell'utente inserendo collegamenti simbolici ai file di interesse nella directory $GIT_DIR/objects del repository clonato. Il problema si verifica solo durante la clonazione locale (nella modalità "--local", utilizzata quando i dati di destinazione e di origine del clone si trovano nella stessa partizione) o quando si clona un repository dannoso confezionato come sottomodulo in un altro repository (ad esempio, quando si includono ricorsivamente sottomoduli con il comando "git clone" --recurse-submodules").
La vulnerabilità è causata dal fatto che nella modalità di clonazione “--local”, git trasferisce il contenuto di $GIT_DIR/objects nella directory di destinazione (creando collegamenti reali o copie di file), eseguendo il dereferenziamento dei collegamenti simbolici (ovvero, come di conseguenza, nella directory di destinazione vengono copiati i collegamenti non simbolici, ma direttamente i file a cui puntano i collegamenti). Per bloccare la vulnerabilità, le nuove versioni di git vietano la clonazione dei repository in modalità “--local” che contengono collegamenti simbolici nella directory $GIT_DIR/objects. Inoltre, il valore predefinito del parametro protocollo.file.allow è stato modificato in "utente", il che rende non sicure le operazioni di clonazione utilizzando il protocollo file://.
- CVE-2022-39260 - Overflow di numeri interi nella funzione split_cmdline() utilizzata nel comando "git shell". Il problema può essere utilizzato per attaccare gli utenti che hanno "git shell" come shell di accesso e hanno la modalità interattiva abilitata (è stato creato un file $HOME/git-shell-commands). Lo sfruttamento della vulnerabilità può portare all'esecuzione di codice arbitrario sul sistema quando si invia un comando appositamente progettato di dimensioni superiori a 2 GB.
Fonte: opennet.ru