Ir publicēti izplatīto avotu kontroles sistēmas Git 2.38.1, 2.30.6, 2.31.5, 2.32.4, 2.33.5, 2.34.5, 2.35.5, 2.36.3 un 2.37.4 koriģējošie laidieni, kuros ir labojums divas ievainojamības, kas parādās, izmantojot komandu “git clone” režīmā “—recurse-submodules” ar neatzīmētām krātuvēm un izmantojot interaktīvo režīmu “git shell”. Varat izsekot pakotņu atjauninājumu izlaišanai izplatījumos Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD lapās.
- CVE-2022-39253 — ievainojamība ļauj uzbrucējam, kurš kontrolē klonētā repozitorija saturu, piekļūt konfidenciāliem datiem lietotāja sistēmā, ievietojot simboliskas saites uz interesējošajiem failiem klonētās krātuves direktorijā $GIT_DIR/objects. Problēma parādās tikai lokāli klonējot (režīmā "--local", ko izmanto, ja klona mērķa un avota dati atrodas vienā nodalījumā) vai klonējot ļaunprātīgu repozitoriju, kas ir iepakota kā apakšmodulis citā repozitorijā (piemēram, rekursīvi iekļaujot apakšmoduļus ar komandu "git clone" --recurse-submodules").
Ievainojamību rada fakts, ka klonēšanas režīmā “--local” git pārsūta $GIT_DIR/objektu saturu uz mērķa direktoriju (izveidojot cietās saites vai failu kopijas), veicot simbolisko saišu atsauci (t.i., kā Rezultātā saites, kas nav simboliskas, tiek kopētas mērķa direktorijā, bet tieši faili, uz kuriem norāda saites). Lai bloķētu ievainojamību, jaunie git laidieni aizliedz klonēt repozitorijus “--local” režīmā, kas satur simboliskas saites direktorijā $GIT_DIR/objects. Turklāt parametra protocol.file.allow noklusējuma vērtība ir mainīta uz "user", kas padara klonēšanas darbības, izmantojot protokolu file://, nedrošas.
- CVE-2022-39260 — veselu skaitļu pārpilde funkcijā split_cmdline(), ko izmanto komandā "git shell". Problēmu var izmantot, lai uzbruktu lietotājiem, kuru pieteikšanās apvalks ir “git shell” un ir iespējots interaktīvais režīms (ir izveidots $HOME/git-shell-commands fails). Ievainojamības izmantošana var izraisīt patvaļīga koda izpildi sistēmā, nosūtot īpaši izstrādātu komandu, kuras izmērs ir lielāks par 2 GB.
Avots: opennet.ru