Korrigerende utgivelser av det distribuerte kildekontrollsystemet Git 2.35.2, 2.30.3, 2.31.2, 2.32.1, 2.33.2 og 2.34.2 har blitt publisert, der to sårbarheter er fikset:
- CVE-2022-24765 - Et angrep har blitt identifisert på flerbrukersystemer med delte kataloger som kan føre til utføring av kommandoer definert av en annen bruker. En angriper kan opprette en ".git"-katalog på steder som krysser andre brukere (for eksempel i delte kataloger eller kataloger med midlertidige filer) og plassere en ".git/config"-konfigurasjonsfil i den med konfigurasjonen til behandlere som er kalles når visse oppgaver utføres. git-kommandoer (du kan for eksempel bruke core.fsmonitor-parameteren til å organisere kodekjøring).
Behandlerne definert i ".git/config" vil bli kalt opp som en annen bruker hvis denne brukeren får tilgang til git i en katalog høyere enn ".git" underkatalogen opprettet av angriperen. Inkludering av samtalen kan foretas indirekte, for eksempel ved bruk av koderedigerere med git-støtte, som VS Code og Atom, eller ved bruk av tillegg som utløser "git-status" (for eksempel Git Bash eller posh-git). I versjon Git 2.35.2 ble sårbarheten blokkert gjennom endringer i logikken for å søke etter «.git» i de underliggende katalogene («.git»-katalogen blir nå ignorert hvis den tilhører en annen bruker).
- CVE-2022-24767 er et Windows-spesifikt sikkerhetsproblem som gjør at kode kan kjøres med SYSTEM-privilegier når du kjører avinstalleringsoperasjonen av Git for Windows. Problemet skyldes at avinstalleringsprogrammet kjører i en midlertidig katalog som kan skrives av systembrukere. Angrepet utføres ved å plassere erstatnings-DLL-er i en midlertidig katalog, som vil bli lastet når avinstalleringsprogrammet kjøres med SYSTEM-rettigheter.
Kilde: opennet.ru