Opravné vydania Git 2.40.1, 2.39.3, 2.38.5, 2.37.7, 2.36.6, 2.35.8, 2.34.8, 2.33.8, 2.32.7, 2.31.8 a 2.30.9 boli zverejnené , ktorá opravila päť zraniteľností. Vydanie aktualizácií balíkov v distribúciách môžete sledovať na stránkach Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD. Ako riešenie na ochranu pred zraniteľnosťami sa odporúča vyhnúť sa spúšťaniu príkazu „git apply --reject“ pri práci s netestovanými externými záplatami a pred spustením „git submodule deinit“, „git“ skontrolovať obsah $GIT_DIR/config config --rename-section" a " git config --remove-section" pri práci s nedôveryhodnými úložiskami.
Zraniteľnosť CVE-2023-29007 umožňuje nahradenie nastavení v konfiguračnom súbore $GIT_DIR/config, ktorý možno použiť na spustenie kódu v systéme zadaním ciest k spustiteľným súborom v direktívach core.pager, core.editor a core.sshCommand. Zraniteľnosť je spôsobená logickou chybou, vďaka ktorej môžu byť veľmi dlhé konfiguračné hodnoty považované za začiatok novej sekcie pri premenovaní alebo odstránení sekcie z konfiguračného súboru. V praxi je možné substitúciu hodnôt využitia dosiahnuť zadaním veľmi dlhých adries URL submodulov, ktoré sa počas inicializácie uložia do súboru $GIT_DIR/config. Tieto adresy URL možno interpretovať ako nové nastavenia pri pokuse o ich odstránenie pomocou „git submodule deinit“.
Zraniteľnosť CVE-2023-25652 umožňuje prepísanie obsahu súborov mimo pracovného stromu, keď sú špeciálne vytvorené záplaty spracované príkazom "git apply --reject". Ak sa pokúsite spustiť záplatu pomocou príkazu „git apply“, ktorý sa pokúša zapísať do súboru prostredníctvom symbolického odkazu, operácia bude odmietnutá. V Git 2.39.1 bola ochrana pred manipuláciou so symbolickými odkazmi rozšírená o blokovanie záplat, ktoré vytvárajú symbolické odkazy a pokúšajú sa cez ne zapisovať. Podstatou uvažovanej zraniteľnosti je, že Git nezohľadnil, že používateľ môže spustiť príkaz „git apply -reject“ na zapísanie odmietnutých častí opravy ako súborov s príponou „.rej“ a útočník môže využite túto príležitosť na zápis obsahu do ľubovoľného adresára, pokiaľ to aktuálne oprávnenia umožňujú.
Okrem toho boli opravené tri zraniteľnosti, ktoré sa vyskytujú iba na platforme Windows: CVE-2023-29012 (vyhľadajte spustiteľný súbor doskey.exe v pracovnom adresári úložiska pri spustení príkazu „Git CMD“, ktorý vám umožňuje organizovať spustenie vášho kódu v systéme používateľa), CVE-2023 -25815 (pretečenie vyrovnávacej pamäte pri spracovaní vlastných lokalizačných súborov v gettexte) a CVE-2023-29011 (možnosť nahradenia súboru connect.exe pri práci cez SOCKS5).
Zdroj: opennet.ru