Er zijn corrigerende releases van het gedistribueerde versiebeheersysteem Git 2.35.2, 2.30.3, 2.31.2, 2.32.1, 2.33.2 en 2.34.2 gepubliceerd, die twee kwetsbaarheden verhelpen:
- CVE-2022-24765 — Op systemen met meerdere gebruikers en gedeelde mappen is een aanval ontdekt die kan leiden tot het uitvoeren van opdrachten die door een andere gebruiker zijn gedefinieerd. Een aanvaller kan een ".git"-map aanmaken op locaties die overlappen met die van andere gebruikers (bijvoorbeeld in gedeelde mappen of mappen met tijdelijke bestanden) en daarin een configuratiebestand ".git/config" plaatsen dat handlers configureert die worden aangeroepen bij het uitvoeren van bepaalde Git-opdrachten (de parameter core.fsmonitor kan bijvoorbeeld worden gebruikt om de uitvoering van code te organiseren).
De handlers die gedefinieerd zijn in ".git/config" worden aangeroepen met de rechten van een andere gebruiker als die gebruiker git gebruikt in een directory die zich één niveau boven de door de aanvaller aangemaakte ".git"-subdirectory bevindt. Dit kan ook indirect gebeuren, bijvoorbeeld bij het gebruik van code-editors met git-functionaliteit zoals VS Code en Atom, of bij het gebruik van add-ons die "git status" draaien (bijvoorbeeld Git Bash of posh-git). In Git 2.35.2 wordt de kwetsbaarheid geblokkeerd door de logica voor het zoeken naar ".git" in lagere directory's te wijzigen (de ".git"-directory wordt nu genegeerd als deze van een andere gebruiker is).
- CVE-2022-24767 - Platformspecifiek Windows Een kwetsbaarheid die het mogelijk maakt om code met SYSTEM-rechten uit te voeren tijdens het verwijderen van Git. WindowsHet probleem wordt veroorzaakt doordat het verwijderingsprogramma wordt uitgevoerd in een tijdelijke map die beschrijfbaar is voor systeemgebruikers. De aanval wordt uitgevoerd door vervangende DLL's in de tijdelijke map te plaatsen, die worden geladen wanneer het verwijderingsprogramma met SYSTEM-rechten wordt uitgevoerd.
Bron: opennet.ru
