Keluaran pembetulan sistem kawalan sumber teragih Git 2.35.2, 2.30.3, 2.31.2, 2.32.1, 2.33.2 dan 2.34.2 telah diterbitkan, yang membetulkan dua kelemahan:
- CVE-2022-24765 β Pada sistem berbilang pengguna dengan direktori kongsi, serangan telah dikenal pasti yang boleh membawa kepada pelaksanaan perintah yang ditakrifkan oleh pengguna lain. Penyerang boleh mencipta direktori ".git" di tempat yang bertindih dengan pengguna lain (contohnya, dalam direktori kongsi atau direktori dengan fail sementara) dan meletakkan fail konfigurasi ".git/config" di dalamnya dengan konfigurasi pengendali dipanggil apabila tugas tertentu dilaksanakan. perintah git (contohnya, anda boleh menggunakan parameter core.fsmonitor untuk mengatur pelaksanaan kod).
Pengendali yang ditakrifkan dalam ".git/config" akan dipanggil dengan hak pengguna lain jika pengguna itu menggunakan git dalam direktori yang terletak pada tahap yang lebih tinggi daripada subdirektori ".git" yang dibuat oleh penyerang. Panggilan juga boleh dibuat secara tidak langsung, contohnya, apabila menggunakan editor kod yang menyokong git, seperti Kod VS dan Atom, atau apabila menggunakan alat tambah yang menjalankan "status git" (contohnya, Git Bash atau posh-git). Dalam Git 2.35.2, kelemahan telah disekat melalui perubahan kepada logik untuk mencari ".git" dalam direktori asas (direktori ".git" kini tidak diambil kira jika ia dimiliki oleh pengguna lain).
- CVE-2022-24767 ialah kerentanan khusus platform Windows yang membenarkan pelaksanaan kod dengan keistimewaan SYSTEM apabila menjalankan operasi Nyahpasang program Git untuk Windows. Masalahnya disebabkan oleh fakta bahawa penyahpasang berjalan dalam direktori sementara yang boleh ditulis oleh pengguna sistem. Serangan dilakukan dengan meletakkan DLL gantian dalam direktori sementara, yang akan dimuatkan apabila penyahpasang dilancarkan dengan hak SYSTEM.
Sumber: opennet.ru