Опубликованы корректирующие выпуски распределённой системы управления исходными текстами Git 2.38.1, 2.30.6, 2.31.5, 2.32.4, 2.33.5, 2.34.5, 2.35.5, 2.36.3 и 2.37.4, в которых устранены две уязвимости, проявляющиеся при применении команды «git clone» в режиме «—recurse-submodules» с непроверенными репозиториями и при использовании интерактивного режима работы «git shell». Проследить за выпуском обновлений пакетов в дистрибутивах можно на страницах Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD.
- CVE-2022-39253 — Luka w zabezpieczeniach umożliwia atakującemu, który kontroluje zawartość sklonowanego repozytorium, uzyskanie dostępu do poufnych danych w systemie użytkownika poprzez umieszczenie symbolicznych linków do interesujących plików w katalogu $GIT_DIR/objects sklonowanego repozytorium. Problem występuje tylko podczas lokalnego klonowania (w trybie „--local”, używanym, gdy dane klonu docelowego i źródłowego znajdują się w tej samej partycji) lub podczas klonowania złośliwego repozytorium spakowanego jako podmoduł w innym repozytorium (na przykład podczas rekurencyjnego uwzględniania podmodułów za pomocą polecenia „git clone --recurse-submodules”).
Luka jest spowodowana faktem, że w trybie klonowania „--local” git przesyła zawartość $GIT_DIR/objects do katalogu docelowego (tworzy twarde linki lub kopie plików), wykonując dereferencję linków symbolicznych (tj. w rezultacie nie linki symboliczne są kopiowane do katalogu docelowego, ale pliki, do których linki wskazują). Aby zablokować lukę, nowe wersje git zabraniają klonowania repozytoriów w trybie „--local”, które zawierają linki symboliczne w katalogu $GIT_DIR/objects. Ponadto domyślna wartość parametru protocol.file.allow została zmieniona na „user”, co klasyfikuje operacje klonowania przy użyciu protokołu file:// jako niebezpieczne.
- CVE-2022-39260 — Przepełnienie liczby całkowitej w funkcji split_cmdline() używanej w poleceniu git shell może zostać wykorzystane do ataku na użytkowników, którzy mają git shell jako powłokę logowania i włączony tryb interaktywny (zostaje utworzony plik $HOME/git-shell-commands). Wykorzystanie tej luki może doprowadzić do wykonania dowolnego kodu w systemie podczas przekazywania specjalnie spreparowanego polecenia większego niż 2 GB.
Źródło: opennet.ru
