Opublikowano wydania korygujące rozproszonego systemu kontroli źródła Git 2.35.2, 2.30.3, 2.31.2, 2.32.1, 2.33.2 i 2.34.2, w których naprawiono dwie luki:
- CVE-2022-24765 — Zidentyfikowano atak na systemy wielu użytkowników ze współdzielonymi katalogami, który mógł doprowadzić do wykonania poleceń zdefiniowanych przez innego użytkownika. Osoba atakująca może utworzyć katalog „.git” w miejscach przecinających się z innymi użytkownikami (na przykład w katalogach współdzielonych lub katalogach z plikami tymczasowymi) i umieścić w nim plik konfiguracyjny „.git/config” z konfiguracją procedur obsługi, które są wywoływane, gdy wykonywane są określone zadania, polecenia git (na przykład możesz użyć parametru core.fsmonitor do zorganizowania wykonywania kodu).
Procedury obsługi zdefiniowane w „.git/config” zostaną wywołane jako inny użytkownik, jeśli ten użytkownik uzyska dostęp do git w katalogu wyższym niż podkatalog „.git” utworzony przez atakującego. Włączenie wywołania można wykonać pośrednio, na przykład podczas korzystania z edytorów kodu z obsługą git, takich jak VS Code i Atom, lub podczas korzystania z dodatków wyzwalających „status git” (na przykład Git Bash lub posh-git). W wersji Git 2.35.2 luka została zablokowana poprzez zmiany w logice wyszukiwania „.git” w odpowiednich katalogach (katalog „.git” jest teraz ignorowany, jeśli należy do innego użytkownika).
- CVE-2022-24767 to luka specyficzna dla systemu Windows, która umożliwia wykonanie kodu z uprawnieniami SYSTEMOWYMI podczas wykonywania operacji dezinstalacji Git dla Windows. Problem jest spowodowany tym, że dezinstalator działa w katalogu tymczasowym, do którego zapisy mogą mieć użytkownicy systemu. Atak polega na umieszczeniu zastępczych bibliotek DLL w katalogu tymczasowym, który zostanie załadowany po uruchomieniu dezinstalatora z uprawnieniami SYSTEMOWYMI.
Źródło: opennet.ru