分散ソース管理システム Git 2.38.4、2.37.6、2.36.5、2.35.7、2.34.7、2.33.7、2.32.6、2.31.7、および 2.30.8 の修正リリースが公開されました。 XNUMX つの脆弱性。ローカル クローン作成と「git apply」コマンドの最適化に影響します。 Debian、Ubuntu、RHEL、SUSE/openSUSE、Fedora、Arch、FreeBSD のページで、ディストリビューション内のパッケージ更新のリリースを追跡できます。 アップデートをインストールできない場合は、信頼できないリポジトリで「--recurse-submodules」オプションを使用して「git clone」操作を実行しないこと、および「git apply」および「 git am" 信頼できないリポジトリに対するコマンド。コード。
- CVE-2023-22490 の脆弱性により、複製されたリポジトリの内容を制御する攻撃者がユーザーのシステム上の機密データにアクセスできるようになります。 次の XNUMX つの欠陥が脆弱性の出現に寄与します。
XNUMX つ目の欠陥により、特別に設計されたリポジトリを使用する場合、外部システムと対話するトランスポートを使用している場合でも、ローカル クローン作成の最適化を使用できます。
2022 番目の脆弱性では、$GIT_DIR/objects ディレクトリの代わりにシンボリック リンクを配置できます。これは、脆弱性 CVE-39253-XNUMX と同様です。この修正により、$GIT_DIR/objects ディレクトリへのシンボリック リンクの配置がブロックされましたが、ブロックされませんでした。 $GIT_DIR/objects ディレクトリ自体がシンボリック リンクである可能性があることを確認してください。
ローカル クローン作成モードでは、git はシンボリックリンクを参照解除することによって $GIT_DIR/objects をターゲット ディレクトリに転送します。これにより、直接参照されたファイルがターゲット ディレクトリにコピーされます。 非ローカル トランスポートに対してローカル クローン作成の最適化を使用するように切り替えると、外部リポジトリを操作するときに脆弱性が悪用される可能性があります (たとえば、コマンド「git clone —recurse-submodules」でサブモジュールを再帰的に含めると、サブモジュールとしてパッケージ化された悪意のあるリポジトリのクローンが作成される可能性があります)別のリポジトリにあります)。
- 脆弱性 CVE-2023-23946 により、特別に細工された入力を「git apply」コマンドに渡すことで、作業ディレクトリ外のファイルの内容が上書きされる可能性があります。 たとえば、「git apply」で攻撃者が作成したパッチの処理中に攻撃が実行される可能性があります。 パッチが作業コピーの外部にファイルを作成するのをブロックするために、「git apply」はシンボリックリンクを使用してファイルを書き込もうとするパッチの処理をブロックします。 しかし、最初にシンボリック リンクを作成することで、この保護を回避できることが判明しました。
出所: オープンネット.ru