פגיעויות ב-Git בעת שיבוט תת-מודולים ושימוש במעטפת git

תיקונים לגיט 2.38.1, 2.30.6, 2.31.5, 2.32.4, 2.33.5, 2.34.5, 2.35.5, 2.36.3 ו-2.37.4 פורסמו עבור מערכת ניהול קוד המקור המבוזרת. תיקונים אלה מטפלים בשתי פגיעויות המתרחשות בעת שימוש בפקודה "git clone" במצב "--recurse-submodules" עם מאגרים לא מהימנים ובעת שימוש במצב אינטראקטיבי "git shell". ניתן לעקוב אחר פרסום עדכוני חבילות עבור הפצות אלו בדפים הבאים: Debian, Ubuntu, RHEL, SUSE/openSUSE, פדורה, ארץ', FreeBSD.

• CVE-2022-39253 - הפגיעות מאפשרת לתוקף השולט בתוכן המאגר המשובט לקבל גישה לנתונים סודיים במערכת המשתמש על ידי הצבת קישורים סמליים לקבצי עניין בספריית $GIT_DIR/objects של המאגר המשובט. הבעיה מופיעה רק בעת שיבוט מקומי (במצב "--local", בשימוש כאשר נתוני היעד והמקור של השיבוט נמצאים באותה מחיצה) או בעת שיבוט מאגר זדוני ארוז כתת-מודול במאגר אחר (לדוגמה, כאשר רקורסיבית כולל תת-מודולים עם הפקודה "git clone" --recurse-submodules").

  הפגיעות נגרמת מהעובדה שבמצב השיבוט "--local", git מעביר את התוכן של $GIT_DIR/objects לספריית היעד (יצירת קישורים קשיחים או עותקים של קבצים), תוך ביצוע הפנייה של קישורים סמליים (כלומר, כמו כתוצאה מכך, קישורים לא סמליים מועתקים לספריית היעד, אך ישירות הקבצים שאליהם הקישורים מפנים). כדי לחסום את הפגיעות, מהדורות חדשות של git אוסרות שיבוט של מאגרים במצב "--local" המכילים קישורים סמליים בספריית $GIT_DIR/objects. בנוסף, ערך ברירת המחדל של הפרמטר protocol.file.allow שונה ל"משתמש", מה שהופך את פעולות השיבוט באמצעות פרוטוקול file:// לא בטוחות.

• CVE-2022-39260 - גלישת מספרים שלמים בפונקציה split_cmdline() המשמשת בפקודה "git shell". ניתן להשתמש בבעיה כדי לתקוף משתמשים שיש להם "git shell" כמעטפת הכניסה שלהם ושמצב אינטראקטיבי מופעל (נוצר קובץ $HOME/git-shell-commands). ניצול הפגיעות עלול להוביל לביצוע קוד שרירותי במערכת בעת שליחת פקודה שתוכננה במיוחד בגודל של יותר מ-2 ג'יגה-בייט.

מקור: OpenNet.ru