פגיעויות ב-Git בעת שיבוט תת-מודולים ושימוש במעטפת git

מהדורות מתקנות של מערכת בקרת המקורות המבוזרת Git 2.38.1, 2.30.6, 2.31.5, 2.32.4, 2.33.5, 2.34.5, 2.35.5, 2.36.3 ו- 2.37.4 פורסמו, אשר תיקנו שתי פגיעויות, המופיעות בעת שימוש בפקודה "גיt clone" במצב "-recurse-submodules" עם מאגרים לא מסומנים ובשימוש במצב האינטראקטיבי "git shell". אתה יכול לעקוב אחר שחרור עדכוני החבילות בהפצות בדפי Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD.

• CVE-2022-39253 - הפגיעות מאפשרת לתוקף השולט בתוכן המאגר המשובט לקבל גישה לנתונים סודיים במערכת המשתמש על ידי הצבת קישורים סמליים לקבצי עניין בספריית $GIT_DIR/objects של המאגר המשובט. הבעיה מופיעה רק בעת שיבוט מקומי (במצב "--local", בשימוש כאשר נתוני היעד והמקור של השיבוט נמצאים באותה מחיצה) או בעת שיבוט מאגר זדוני ארוז כתת-מודול במאגר אחר (לדוגמה, כאשר רקורסיבית כולל תת-מודולים עם הפקודה "git clone" --recurse-submodules").

  הפגיעות נגרמת מהעובדה שבמצב השיבוט "--local", git מעביר את התוכן של $GIT_DIR/objects לספריית היעד (יצירת קישורים קשיחים או עותקים של קבצים), תוך ביצוע הפנייה של קישורים סמליים (כלומר, כמו כתוצאה מכך, קישורים לא סמליים מועתקים לספריית היעד, אך ישירות הקבצים שאליהם הקישורים מפנים). כדי לחסום את הפגיעות, מהדורות חדשות של git אוסרות שיבוט של מאגרים במצב "--local" המכילים קישורים סמליים בספריית $GIT_DIR/objects. בנוסף, ערך ברירת המחדל של הפרמטר protocol.file.allow שונה ל"משתמש", מה שהופך את פעולות השיבוט באמצעות פרוטוקול file:// לא בטוחות.

• CVE-2022-39260 - גלישת מספרים שלמים בפונקציה split_cmdline() המשמשת בפקודה "git shell". ניתן להשתמש בבעיה כדי לתקוף משתמשים שיש להם "git shell" כמעטפת הכניסה שלהם ושמצב אינטראקטיבי מופעל (נוצר קובץ $HOME/git-shell-commands). ניצול הפגיעות עלול להוביל לביצוע קוד שרירותי במערכת בעת שליחת פקודה שתוכננה במיוחד בגודל של יותר מ-2 ג'יגה-בייט.

מקור: OpenNet.ru