Түгээмэл эх сурвалжийн хяналтын системийн Git 2.35.2, 2.30.3, 2.31.2, 2.32.1, 2.33.2, 2.34.2-ын залруулах хувилбарууд нийтлэгдсэн бөгөөд эдгээр нь хоёр эмзэг байдлыг зассан:
- CVE-2022-24765 – Хуваалцсан лавлах бүхий олон хэрэглэгчийн систем дээр өөр хэрэглэгчийн тодорхойлсон тушаалуудыг гүйцэтгэхэд хүргэж болзошгүй халдлага илэрсэн. Халдагч нь бусад хэрэглэгчидтэй давхцаж буй газруудад (жишээлбэл, хуваалцсан лавлах эсвэл түр зуурын файл бүхий лавлахуудад) ".git" лавлах үүсгэж, түүнд ".git/config" тохиргооны файлыг байрлуулж болно. тодорхой ажлуудыг гүйцэтгэдэг.git командууд (жишээ нь, та кодын гүйцэтгэлийг зохион байгуулахдаа core.fsmonitor параметрийг ашиглаж болно).
Хэрэв тухайн хэрэглэгч халдагчийн үүсгэсэн “.git” дэд лавлахаас өндөр түвшинд байрлах директорт git ашигладаг бол “.git/config”-д тодорхойлсон зохицуулагчид өөр хэрэглэгчийн эрхээр дуудагдах болно. VS Code, Atom зэрэг git-г дэмждэг код засварлагч ашиглах эсвэл "git status" (жишээ нь, Git Bash эсвэл posh-git) ажиллуулдаг нэмэлт програмуудыг ашиглах үед шууд бусаар дуудлага хийх боломжтой. Git 2.35.2-д үндсэн лавлахуудаас ".git"-г хайх логикийг өөрчилснөөр эмзэг байдлыг хаасан (хэрэв ".git" лавлах нь өөр хэрэглэгчийн эзэмшдэг бол одоо үүнийг тооцохгүй).
- CVE-2022-24767 нь Windows-д зориулсан Git програмын Устгах үйлдлийг ажиллуулах үед СИСТЕМ-ийн давуу эрхээр код гүйцэтгэх боломжийг олгодог Windows платформд хамаарах эмзэг байдал юм. Асуудал нь устгагч нь системийн хэрэглэгчид бичих боломжтой түр зуурын санд ажилладагтай холбоотой юм. Халдлагыг түр зуурын санд орлуулах DLL-г байрлуулах замаар гүйцэтгэдэг бөгөөд устгагчийг SYSTEM эрхтэйгээр эхлүүлэх үед ачаалагдах болно.
Эх сурвалж: opennet.ru