עדכון Git עם 8 פגיעויות שתוקנו

יצא לאור מהדורות מתקנות של מערכת בקרת המקור המבוזר Git 2.24.1, 2.23.1, 2.22.2, 2.21.1, 2.20.2, 2.19.3, 2.18.2, 2.17.3, 2.16.6, 2.15.4 ו-2.14.62.24.1 XNUMX, אשר תיקן פגיעויות שאפשרו לתוקף לשכתב נתיבים שרירותיים במערכת הקבצים, לארגן ביצוע קוד מרחוק או להחליף קבצים בספריית ".git/". רוב הבעיות שזוהו על ידי העובדים
Microsoft Security Response Center, חמש מתוך שמונה נקודות התורפה הן ספציפיות לפלטפורמת Windows.

• CVE-2019-1348 - פקודת סטרימינג "פיצ'ר ייצוא-סימנים=נתיב"היא מאפשרת כתוב תוויות לספריות שרירותיות, בהן ניתן להשתמש כדי להחליף נתיבים שרירותיים במערכת הקבצים בעת ביצוע פעולת "ייבוא ​​מהיר של git" עם נתוני קלט לא מסומנים.
• CVE-2019-1350 - בריחה לא נכונה של ארגומנטים של שורת הפקודה יכול להוביל לביצוע מרחוק של קוד תוקף במהלך שיבוט רקורסיבי באמצעות כתובת האתר ssh://. בפרט, ארגומנטים בריחה שהסתיימו בקו נטוי אחורי (לדוגמה, "מבחן \") טופלו בצורה שגויה. במקרה זה, בעת מסגור טיעון עם מרכאות כפולות, הציטוט האחרון היה בריחה, מה שאפשר לארגן את החלפת האפשרויות שלך בשורת הפקודה.
• CVE-2019-1349 - בעת שיבוט רקורסיבי של תת-מודולים ("clone -recurse-submodules") בסביבת Windows בתנאים מסוימים זה יכול להיות מפעילים את השימוש באותה ספריית git פעמיים (.git, git~1, git~2 ו-git~N מוכרים כספרייה אחת ב-NTFS, אבל מצב זה נבדק רק עבור git~1), שניתן להשתמש בה כדי לארגן כתיבה לספרייה ". git". כדי לארגן את ביצוע הקוד שלו, תוקף, למשל, יכול להחליף את הסקריפט שלו דרך המטפל שלאחר התשלום בקובץ .git/config.
• CVE-2019-1351 - המטפל לשמות כונני אותיות בנתיבי Windows בעת תרגום נתיבים כמו "C:\" תוכנן רק כדי להחליף מזהים לטיניים של אות אחת, אך לא לקח בחשבון את האפשרות ליצור כוננים וירטואליים שהוקצו באמצעות "אות subst:path" . נתיבים כאלה לא טופלו כאל מוחלטים, אלא כנתיבים יחסיים, מה שאיפשר, בעת שיבוט מאגר זדוני, לארגן רשומה בספרייה שרירותית מחוץ לעץ ספריות העבודה (לדוגמה, בעת שימוש במספרים או תווי Unicode בדיסק שם - "1:\what\the\ hex.txt" או "ä:\tschibät.sch").
• CVE-2019-1352 - בעת עבודה על פלטפורמת Windows, השימוש בזרמי נתונים חלופיים ב-NTFS, שנוצרו על ידי הוספת התכונה ":stream-name:stream-type" לשם הקובץ, מוּתָר החלף קבצים בספריית ".git/" בעת שיבוט מאגר זדוני. לדוגמה, השם ".git::$INDEX_ALLOCATION" ב-NTFS טופל כקישור חוקי לספריית ".git".
• CVE-2019-1353 - בעת שימוש ב-Git בסביבת WSL (Windows Subsystem for Linux) בעת גישה לספריית העבודה לא בשימוש הגנה מפני מניפולציה של שמות ב-NTFS (התקפות באמצעות תרגום שמות FAT היו אפשריות, למשל, ניתן היה לגשת ל-".git" דרך ספריית "git~1").
• CVE-2019-1354 -
  הזדמנות כותב לספריית ".git/" בפלטפורמת Windows בעת שיבוט מאגרים זדוניים המכילים קבצים עם נטוי אחורי בשם (לדוגמה, "a\b"), המקובל ב-Unix/Linux, אך מקובל כחלק מ- הנתיב ב-Windows.

• CVE-2019-1387 - בדיקה לא מספקת של שמות תת-מודולים עלולה לשמש כדי לארגן התקפות ממוקדות, שאם ישובטו באופן רקורסיבי, עלולות להיות יכול להוביל כדי לבצע את הקוד של התוקף. Git לא מנע יצירת ספריית תת-מודול בתוך ספריית תת-מודול אחר, מה שברוב המקרים רק יוביל לבלבול, אך לא מנע בפוטנציה את החלפת התוכן של מודול אחר במהלך תהליך השיבוט הרקורסי (לדוגמה, ספריות התת-מודולים "hipo" ו-"hipo/hooks" ממוקמים כ-" .git/modules/hippo/" ו-".git/modules/hipo/hooks/", וניתן להשתמש בספריית ה-hooks בהיפופוטם בנפרד כדי לארח הוקס שהופעלו.

מומלץ למשתמשי Windows לעדכן מיד את גרסת Git שלהם, ולהימנע משיבוט מאגרים לא מאומתים עד לעדכון. אם עדיין לא ניתן לעדכן בדחיפות את גרסת Git, אז כדי להפחית את הסיכון להתקפה, מומלץ לא להפעיל "git clone —recurse-submodules" ו-"git submodule update" עם מאגרים לא מסומנים, לא להשתמש ב-"git מהיר-ייבוא" עם זרמי קלט לא מסומנים, ולא לשכפל מאגרים למחיצות מבוססות NTFS.

למען אבטחה נוספת, מהדורות חדשות אוסרות גם על שימוש במבנים בצורת "submodule.{name}.update=!command" ב-.gitmodules. עבור הפצות, אתה יכול לעקוב אחר שחרור עדכוני החבילות בדפים דביאן,אובונטו, רהל, SUSE/openSUSE, פדורה, קשת, ALT, FreeBSD.

מקור: OpenNet.ru