เวอร์ชันแก้ไขของระบบควบคุมแหล่งที่มาแบบกระจาย Git 2.35.2, 2.30.3, 2.31.2, 2.32.1, 2.33.2 และ 2.34.2 ได้รับการเผยแพร่ โดยมีการแก้ไขช่องโหว่สองรายการ:
- CVE-2022-24765 - มีการระบุการโจมตีบนระบบที่มีผู้ใช้หลายรายพร้อมไดเร็กทอรีที่ใช้ร่วมกัน ซึ่งอาจนำไปสู่การดำเนินการคำสั่งที่กำหนดโดยผู้ใช้รายอื่น ผู้โจมตีสามารถสร้างไดเร็กทอรี ".git" ในตำแหน่งที่ตัดกับผู้ใช้รายอื่น (เช่น ในไดเร็กทอรีที่ใช้ร่วมกันหรือไดเร็กทอรีที่มีไฟล์ชั่วคราว) และวางไฟล์คอนฟิกูเรชัน ".git/config" ไว้ในไดเร็กทอรีพร้อมกับคอนฟิกูเรชันของตัวจัดการที่ เรียกว่าเมื่อมีการดำเนินการงานบางอย่าง คำสั่ง git (เช่น คุณสามารถใช้พารามิเตอร์ core.fsmonitor เพื่อจัดระเบียบการเรียกใช้โค้ด)
ตัวจัดการที่กำหนดใน ".git/config" จะถูกเรียกใช้เป็นผู้ใช้อื่น หากผู้ใช้นั้นเข้าถึง git ในไดเร็กทอรีที่สูงกว่าไดเร็กทอรีย่อย ".git" ที่สร้างโดยผู้โจมตี การรวมการเรียกสามารถทำได้โดยอ้อม เช่น เมื่อใช้โปรแกรมแก้ไขโค้ดที่รองรับ git เช่น VS Code และ Atom หรือเมื่อใช้ส่วนเสริมที่ทริกเกอร์ "สถานะ git" (เช่น Git Bash หรือ posh-git) ในเวอร์ชัน Git 2.35.2 ช่องโหว่ถูกบล็อกด้วยการเปลี่ยนแปลงตรรกะในการค้นหา ".git" ในไดเร็กทอรีพื้นฐาน (ไดเร็กทอรี ".git" จะถูกละเว้นหากเป็นของผู้ใช้รายอื่น)
- CVE-2022-24767 เป็นช่องโหว่เฉพาะแพลตฟอร์ม Windows ที่อนุญาตให้เรียกใช้โค้ดด้วยสิทธิ์ของระบบ เมื่อเรียกใช้การดำเนินการถอนการติดตั้งของ Git สำหรับ Windows ปัญหาเกิดจากการที่โปรแกรมถอนการติดตั้งทำงานในไดเร็กทอรีชั่วคราวที่ผู้ใช้ระบบเขียนได้ การโจมตีจะดำเนินการโดยการวาง DLLs ทดแทนในไดเร็กทอรีชั่วคราว ซึ่งจะถูกโหลดเมื่อมีการรันโปรแกรมถอนการติดตั้งโดยใช้สิทธิ์ของระบบ
ที่มา: opennet.ru