Foram publicadas versões corretivas do sistema de controle de origem distribuído Git 2.35.2, 2.30.3, 2.31.2, 2.32.1, 2.33.2 e 2.34.2, nas quais duas vulnerabilidades são corrigidas:
- CVE-2022-24765 – Foi identificado um ataque em sistemas multiusuário com diretórios compartilhados que pode levar à execução de comandos definidos por outro usuário. Um invasor pode criar um diretório ".git" em locais que se cruzam com outros usuários (por exemplo, em diretórios compartilhados ou diretórios com arquivos temporários) e colocar nele um arquivo de configuração ".git/config" com a configuração de manipuladores que são chamado quando certas tarefas são executadas.comandos git (por exemplo, você pode usar o parâmetro core.fsmonitor para organizar a execução do código).
Os manipuladores definidos em ".git/config" serão invocados como um usuário diferente se esse usuário acessar o git em um diretório superior ao subdiretório ".git" criado pelo invasor. A inclusão da chamada pode ser feita indiretamente, por exemplo, ao utilizar editores de código com suporte a git, como VS Code e Atom, ou ao utilizar complementos que acionam "git status" (por exemplo, Git Bash ou posh-git). Na versão Git 2.35.2, a vulnerabilidade foi bloqueada através de alterações na lógica de busca por ".git" nos diretórios subjacentes (o diretório ".git" agora é ignorado se pertencer a outro usuário).
- CVE-2022-24767 é uma vulnerabilidade específica da plataforma Windows que permite que o código seja executado com privilégios SYSTEM ao executar a operação de desinstalação do Git para Windows. O problema é causado pela execução do desinstalador em um diretório temporário que pode ser gravado pelos usuários do sistema. O ataque é realizado colocando DLLs de substituição em um diretório temporário, que será carregado quando o desinstalador for executado com direitos de SYSTEM.
Fonte: opennet.ru