Sono state pubblicate versioni correttive del sistema di controllo del codice sorgente distribuito Git 2.35.2, 2.30.3, 2.31.2, 2.32.1, 2.33.2 e 2.34.2, che risolvono due vulnerabilità:
- CVE-2022-24765 – Sui sistemi multiutente con directory condivise è stato individuato un attacco che potrebbe portare all'esecuzione di comandi definiti da un altro utente. Un utente malintenzionato può creare una directory ".git" in luoghi che si sovrappongono ad altri utenti (ad esempio, in directory condivise o directory con file temporanei) e inserirvi un file di configurazione ".git/config" con la configurazione dei gestori chiamati quando vengono eseguiti determinati compiti comandi git (ad esempio, puoi utilizzare il parametro core.fsmonitor per organizzare l'esecuzione del codice).
I gestori definiti in “.git/config” verranno chiamati con i diritti di un altro utente se quell'utente utilizza git in una directory situata a un livello superiore rispetto alla sottodirectory “.git” creata dall'aggressore. La chiamata può anche essere effettuata indirettamente, ad esempio, quando si utilizzano editor di codice che supportano git, come VS Code e Atom, o quando si utilizzano componenti aggiuntivi che eseguono "git status" (ad esempio, Git Bash o posh-git). In Git 2.35.2 la vulnerabilità è stata bloccata modificando la logica di ricerca di ".git" nelle directory sottostanti (la directory ".git" ora non viene presa in considerazione se è di proprietà di un altro utente).
- CVE-2022-24767 è una vulnerabilità specifica della piattaforma Windows che consente l'esecuzione di codice con privilegi SYSTEM durante l'esecuzione dell'operazione di disinstallazione del programma Git per Windows. Il problema è causato dal fatto che il programma di disinstallazione viene eseguito in una directory temporanea scrivibile dagli utenti del sistema. L'attacco viene effettuato posizionando le DLL sostitutive in una directory temporanea, che verrà caricata quando il programma di disinstallazione viene avviato con diritti SYSTEM.
Fonte: opennet.ru