Paskelbti korekciniai platinamo šaltinio valdymo sistemos Git 2.35.2, 2.30.3, 2.31.2, 2.32.1, 2.33.2 ir 2.34.2 leidimai, kuriuose ištaisyti du pažeidžiamumai:
- CVE-2022-24765 – aptikta kelių vartotojų sistemų su bendrai naudojamais katalogais ataka, dėl kurios gali būti vykdomos kito vartotojo apibrėžtos komandos. Užpuolikas gali sukurti „.git“ katalogą vietose, kurios susikerta su kitais vartotojais (pavyzdžiui, bendrinamuose kataloguose arba kataloguose su laikinais failais) ir į jį įdėti „.git/config“ konfigūracijos failą su tvarkyklių, kurie yra iškviečiamas kai vykdomos tam tikros užduotys.git komandos (pavyzdžiui, kodo vykdymui organizuoti galite naudoti parametrą core.fsmonitor).
„.git/config“ apibrėžtos tvarkyklės bus iškviestos kaip kitas vartotojas, jei tas vartotojas pasieks git kataloge, kuris yra aukštesnis nei užpuoliko sukurtas pakatalogis „.git“. Įtraukti skambutį galima netiesiogiai, pavyzdžiui, naudojant kodo redaktorius su „git“ palaikymu, pvz., „VS Code“ ir „Atom“, arba naudojant priedus, kurie suaktyvina „git būseną“ (pavyzdžiui, „Git Bash“ arba „posh-git“). 2.35.2 versijos Git pažeidžiamumas buvo užblokuotas pakeitus „.git“ paieškos pagrindiniuose kataloguose logiką („.git“ katalogas dabar ignoruojamas, jei jis priklauso kitam vartotojui).
- CVE-2022-24767 yra specifinis „Windows“ pažeidžiamumas, leidžiantis vykdyti kodą su SISTEMOS teisėmis, kai vykdoma „Git for Windows“ pašalinimo operacija. Problemą sukelia pašalinimo programa, veikianti laikinajame kataloge, kurį gali įrašyti sistemos vartotojai. Ataka vykdoma įdedant pakaitinius DLL į laikinąjį katalogą, kuris bus įkeltas, kai bus paleista pašalinimo programa su SISTEMOS teisėmis.
Šaltinis: opennet.ru