Ġew rilaxxi korrettivi tas-sistema ta' kontroll tas-sors distribwit Git 2.39.1, 2.38.3, 2.37.5, 2.36.4, 2.35.6, 2.34.6, 2.33.6, 2.32.5, 2.31.6 u 2.30.7 ippubblikat, li fih eliminat żewġ vulnerabbiltajiet li jippermettulek torganizza l-eżekuzzjoni tal-kodiċi tiegħek fuq is-sistema tal-utent meta tuża l-kmand "arkivju git" u taħdem ma 'repożitorji esterni mhux affidabbli. Il-vulnerabbiltajiet huma kkawżati minn żbalji fil-kodiċi tal-ifformattjar tal-kommit u l-parsing tal-fajl ".gitattributes", li, meta jipproċessaw repożitorji esterni, jista 'jwassal għal kitba f'memorja off-heap u qari ta' data arbitrarja mill-memorja.
Iż-żewġ vulnerabbiltajiet ġew identifikati waqt verifika tas-sigurtà tal-codebase Git immexxija minn X41 f'isem l-OSTIF (Open Source Technology Improvement Fund), maħluqa biex issaħħaħ is-sigurtà ta 'proġetti open source. Minbarra ż-żewġ kwistjonijiet kritiċi diskussi hawn taħt, il-verifika sabet ukoll vulnerabbiltà waħda perikoluża, vulnerabbiltà waħda moderata, u erba 'kwistjonijiet mhux perikolużi. Saru wkoll 27 rakkomandazzjoni biex titjieb is-sigurtà tal-bażi tal-kodiċi.
- CVE-2022-41903: Integer overflow fil-kodiċi tal-ifformattjar tal-informazzjoni tal-kommit li jseħħ meta jiġu mmaniġġjati valuri ta' offset kbar f'operaturi tal-ikkuttunar bħal "%<(", "%<|(", "%>(", "%>>) (" u "%><()". Integer overflow iseħħ fil-funzjoni format_and_pad_commit() minħabba l-użu ta' int għall-varjabbli size_t, li, meta tissejjaħ minn memcpy(), tipparteċipa fid-determinazzjoni tad-daqs tal-offset tal-blokk li qed jiġi. ikkupjat.
Il-vulnerabbiltà timmanifesta ruħha kemm meta tissejjaħ direttament b'parametri tal-ifformattjar iddisinjati apposta (pereżempju, meta taħdem “git log —format=...”), kif ukoll meta l-ifformattjar jiġi applikat indirettament waqt l-eżekuzzjoni tal-kmand “git archive” f’repożitorju ikkontrollata mill-attakkant. Fit-tieni każ, il-modifikaturi tal-ifformattjar huma speċifikati permezz tal-parametru export-subst fil-fajl ".gitattributes", li jista 'jitqiegħed mill-attakkant fir-repożitorju tiegħu. Il-kwistjoni tista 'tintuża biex taqra u tikteb żoni arbitrarji fuq il-borġ u twassal għall-eżekuzzjoni tal-kodiċi tal-attakkant meta taħdem ma' repożitorji mhux affidabbli.
- CVE-2022-23521: Integer overflows iseħħu meta jiġu analizzati l-kontenut ta' fajls ".gitattributes" f'repożitorju, kif jidher meta jiġu pproċessati numru kbir ħafna ta' mudelli ta' mogħdijiet ta' fajls jew numru kbir ta' attributi bl-istess mudell, jew meta jiġu analizzati ħafna. ismijiet ta' attributi kbar. Il-kwistjoni tista 'tintuża biex taqra u tikteb żoni arbitrarji fuq il-borġ u twassal għall-eżekuzzjoni tal-kodiċi tal-attakkant meta taħdem ma' repożitorju mhux fdat, li fih attakkant jista 'jpoġġi fajl .gitattributes magħmul apposta u jiżgura li jiġi indiċjat.
Il-pubblikazzjoni ta' aġġornamenti tal-pakketti fid-distribuzzjonijiet tista' tiġi traċċata fil-paġni li ġejjin: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD, NetBSD. Biex jitnaqqas ir-riskju ta' attakk minħabba n-nuqqas ta' installazzjoni ta' aġġornamenti fil-ħin, nirrakkomandaw li tevita li taħdem ma' repożitorji mhux fdati u tuża l-kmand "git archive". Huwa importanti li tiftakar li l-kmand "git archive" jista' jitħaddem impliċitament, pereżempju, mid-daemon git. Biex tiddiżattiva "git archive" fid-daemon git, ibdel il-parametru daemon.uploadArch billi tuża l-kmand "git config --global daemon.uploadArch false."
Barra minn hekk, vulnerabbiltà oħra (CVE-2022-41953) tista' tiġi nnutata fil-Git għall-prodott Windows, li jippermetti l-eżekuzzjoni tal-kodiċi meta jiġu kklonati repożitorji esterni mhux fdati permezz tal-GUI. Il-problema hija kkawżata mill-fatt li l-GUI tal-Git għal Windows Wara l-operazzjoni "checkout", awtomatikament imexxi xi kmandi ta' wara l-ipproċessar, bħall-eżekuzzjoni tal-programm tal-iċċekkjar tal-ortografija biex jivverifika l-ortografija, filwaqt li l-mogħdijiet tat-tiftix għall-iċċekkjar tal-ortografija tal-fajl jinkludu wkoll is-siġra tax-xogħol ikklonata (l-attakk jinżel għaż-żieda tal-iċċekkjar tal-ortografija mas-siġra tax-xogħol tar-repożitorju).
Sors: opennet.ru
