Rilis korektif saka sistem kontrol sumber sing disebarake Git 2.35.2, 2.30.3, 2.31.2, 2.32.1, 2.33.2 lan 2.34.2 wis diterbitake, ing ngendi rong kerentanan diatasi:
- CVE-2022-24765 - Serangan wis diidentifikasi ing sistem multi pangguna kanthi direktori sing dienggo bareng sing bisa nyebabake eksekusi perintah sing ditetepake dening pangguna liyane. Penyerang bisa nggawe direktori ".git" ing panggonan sing intersect karo pangguna liyane (contone, ing direktori sing dienggo bareng utawa direktori karo file sauntara) lan nyelehake file konfigurasi ".git/config" ing kono kanthi konfigurasi panangan sing disebut nalika tugas tartamtu kaleksanan printah git (Contone, sampeyan bisa nggunakake parameter core.fsmonitor kanggo ngatur eksekusi kode).
Panangan sing ditetepake ing ".git/config" bakal diarani pangguna sing beda yen pangguna kasebut ngakses git ing direktori sing luwih dhuwur tinimbang subdirektori ".git" sing digawe dening penyerang. Kalebu telpon bisa ditindakake kanthi ora langsung, contone, nalika nggunakake editor kode kanthi dhukungan git, kayata VS Code lan Atom, utawa nalika nggunakake tambahan sing nyebabake "status git" (contone, Git Bash utawa posh-git). Ing versi Git 2.35.2, kerentanan diblokir liwat owah-owahan logika nggoleki ".git" ing direktori dhasar (direktori ".git" saiki ora digatekake yen pangguna liya).
- CVE-2022-24767 minangka kerentanan khusus platform Windows sing ngidini kode dieksekusi kanthi hak istimewa SYSTEM nalika mbukak operasi Busak instal Git kanggo Windows. Masalah kasebut disebabake dening uninstaller sing mlaku ing direktori sementara sing bisa ditulis dening pangguna sistem. Serangan kasebut ditindakake kanthi nyelehake DLL panggantos ing direktori sauntara, sing bakal dimuat nalika uninstaller diluncurake kanthi hak SISTEM.
Source: opennet.ru