Ir publicēti izplatīto avotu kontroles sistēmas Git 2.35.2, 2.30.3, 2.31.2, 2.32.1, 2.33.2 un 2.34.2 koriģējošie laidieni, kuros ir novērstas divas ievainojamības:
- CVE-2022-24765 — ir konstatēts uzbrukums vairāku lietotāju sistēmām ar koplietotiem direktorijiem, kas var izraisīt cita lietotāja definētu komandu izpildi. Uzbrucējs var izveidot ".git" direktoriju vietās, kas krustojas ar citiem lietotājiem (piemēram, koplietotajos direktorijos vai direktorijos ar pagaidu failiem), un ievietot tajā konfigurācijas failu ".git/config" ar apdarinātāju konfigurāciju, kas ir izsauc, kad tiek izpildīti noteikti uzdevumi.git komandas (piemēram, koda izpildes organizēšanai varat izmantot parametru core.fsmonitor).
Apdarinātāji, kas definēti “.git/config”, tiks izsaukti kā cits lietotājs, ja šis lietotājs piekļūst git direktorijā, kas ir augstāks par uzbrucēja izveidoto apakšdirektoriju “.git”. Iekļaut zvanu var veikt netieši, piemēram, izmantojot koda redaktorus ar git atbalstu, piemēram, VS Code un Atom, vai izmantojot papildinājumus, kas aktivizē "git statusu" (piemēram, Git Bash vai posh-git). Versijā Git 2.35.2 ievainojamība tika bloķēta, mainot loģiku ".git" meklēšanai pamatā esošajos direktorijos (".git" direktorijs tagad tiek ignorēts, ja tas pieder citam lietotājam).
- CVE-2022-24767 ir Windows platformai raksturīga ievainojamība, kas ļauj izpildīt kodu ar SISTĒMAS privilēģijām, palaižot Git operētājsistēmai Windows atinstalēšanas darbību. Problēmu izraisa atinstalēšanas programma, kas darbojas pagaidu direktorijā, kuru var ierakstīt sistēmas lietotāji. Uzbrukums tiek veikts, ievietojot rezerves DLL pagaidu direktorijā, kas tiks ielādēta, kad atinstalētājs tiks palaists ar SISTĒMAS tiesībām.
Avots: opennet.ru