Er zijn corrigerende releases van het gedistribueerde broncontrolesysteem Git 2.38.4, 2.37.6, 2.36.5, 2.35.7, 2.34.7, 2.33.7, 2.32.6, 2.31.7 en 2.30.8 gepubliceerd, waarin problemen worden opgelost twee kwetsbaarheden, die van invloed zijn op de optimalisaties voor lokaal klonen en de opdracht "git apply". U kunt de release van pakketupdates in distributies volgen op de pagina's van Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD. Als het niet mogelijk is om de update te installeren, wordt het als tijdelijke oplossing aanbevolen om te voorkomen dat de bewerking "git clone" wordt uitgevoerd met de optie "--recurse-submodules" op niet-vertrouwde repository's, en om het gebruik van de "git apply" en " git am"-opdrachten op niet-vertrouwde repository's. code.
- Door het beveiligingslek CVE-2023-22490 kan een aanvaller die de inhoud van een gekloonde repository beheert, toegang krijgen tot gevoelige gegevens op het systeem van de gebruiker. Twee tekortkomingen dragen bij aan het ontstaan van kwetsbaarheid:
De eerste fout maakt het mogelijk om, bij het werken met een speciaal ontworpen repository, het gebruik van lokale kloonoptimalisaties te bereiken, zelfs bij gebruik van een transport dat communiceert met externe systemen.
De tweede fout maakt het plaatsen van een symbolische link mogelijk in plaats van de map $GIT_DIR/objects, vergelijkbaar met de kwetsbaarheid CVE-2022-39253, waarvoor de oplossing de plaatsing van symbolische links in de map $GIT_DIR/objects blokkeerde, maar dat niet deed controleer of de map $GIT_DIR/objects zelf een symbolische link kan zijn.
In de lokale kloonmodus draagt git $GIT_DIR/objects over naar de doelmap door de verwijzingen naar de symlinks te verwijderen, wat ervoor zorgt dat de direct verwezen bestanden naar de doelmap worden gekopieerd. Door over te schakelen naar het gebruik van lokale kloonoptimalisaties voor niet-lokaal transport, wordt misbruik van kwetsbaarheden mogelijk bij het werken met externe repository's (het recursief opnemen van submodules met het commando "git clone —recurse-submodules" kan bijvoorbeeld leiden tot het klonen van een kwaadaardige repository verpakt als een submodule in een andere opslagplaats).
- Kwetsbaarheid CVE-2023-23946 maakt het mogelijk dat de inhoud van bestanden buiten de werkmap wordt overschreven door speciaal vervaardigde invoer door te geven aan het "git apply" commando. Een aanval kan bijvoorbeeld worden uitgevoerd tijdens het verwerken van patches die door een aanvaller zijn voorbereid in “git apply”. Om te voorkomen dat patches bestanden buiten de werkkopie maken, blokkeert "git apply" de verwerking van patches die proberen een bestand te schrijven met behulp van symlinks. Maar het blijkt dat deze bescherming kan worden omzeild door in de eerste plaats een symbolische link te creëren.
Bron: opennet.ru