Er zijn corrigerende releases van het gedistribueerde bronbeheersysteem Git 2.35.2, 2.30.3, 2.31.2, 2.32.1, 2.33.2 en 2.34.2 gepubliceerd, die twee kwetsbaarheden verhelpen:
- CVE-2022-24765 – Op systemen voor meerdere gebruikers met gedeelde mappen is een aanval geïdentificeerd die zou kunnen leiden tot de uitvoering van opdrachten die door een andere gebruiker zijn gedefinieerd. Een aanvaller kan een ‘.git’-map maken op plaatsen die overlappen met andere gebruikers (bijvoorbeeld in gedeelde mappen of mappen met tijdelijke bestanden) en daarin een ‘.git/config’-configuratiebestand plaatsen met de configuratie van handlers die worden aangeroepen wanneer bepaalde taken worden uitgevoerd git-opdrachten (u kunt bijvoorbeeld de parameter core.fsmonitor gebruiken om de uitvoering van code te organiseren).
De handlers gedefinieerd in “.git/config” zullen worden aangeroepen met de rechten van een andere gebruiker als die gebruiker git gebruikt in een map die zich op een niveau hoger bevindt dan de “.git” submap die door de aanvaller is aangemaakt. De aanroep kan ook indirect worden gedaan, bijvoorbeeld als je code-editors gebruikt die git ondersteunen, zoals VS Code en Atom, of als je add-ons gebruikt die “git status” draaien (bijvoorbeeld Git Bash of posh-git). In Git 2.35.2 werd de kwetsbaarheid geblokkeerd door wijzigingen in de logica voor het zoeken naar ".git" in onderliggende mappen (de map ".git" wordt nu niet in aanmerking genomen als deze eigendom is van een andere gebruiker).
- CVE-2022-24767 is een Windows-platformspecifieke kwetsbaarheid die het uitvoeren van code met SYSTEEM-rechten mogelijk maakt tijdens het uitvoeren van de verwijderbewerking van het Git voor Windows-programma. Het probleem wordt veroorzaakt door het feit dat het verwijderprogramma in een tijdelijke map draait die door systeemgebruikers beschrijfbaar is. De aanval wordt uitgevoerd door vervangende DLL's in een tijdelijke map te plaatsen, die wordt geladen wanneer het verwijderprogramma wordt gestart met SYSTEEMrechten.
Bron: opennet.ru