Опубліковано коригувальні випуски розподіленої системи управління вихідними текстами Git 2.35.2, 2.30.3, 2.31.2, 2.32.1, 2.33.2 та 2.34.2, у яких усунуто дві вразливості:
- CVE-2022-24765 — на розрахованих на багато користувачів системах із спільно використовуваними каталогами виявлено можливість організації атаки, що призводить до запуску команд, визначених іншим користувачем. Атакуючий може створити каталог ".git" у місцях, що перетинаються з іншими користувачами (наприклад, у спільно використовуваних каталогах або каталогах з тимчасовими файлами) і розмістити в ньому файл конфігурації ".git/config" з налаштуванням обробників, що викликаються при виконанні тих чи інших команд git (наприклад, для організації виконання коду можна використовувати параметр core.fsmonitor).
Визначені в ".git/config" обробники будуть викликані з правами іншого користувача, якщо цей користувач скористається git у каталозі, розташованому рівнем вище, ніж створений атакуючим підкаталог ".git". У тому числі виклик може бути здійснений опосередковано, наприклад, при використанні редакторів коду з підтримкою git, таких як VS Code і Atom, або при застосуванні надбудов, що запускають git status (наприклад, Git Bash або posh-git). У версії Git 2.35.2 вразливість блокована через зміни логіки пошуку «.git» у каталогах нижче (каталог «.git» тепер не враховується, якщо він належить іншому користувачеві).
- CVE-2022-24767 – специфічна для платформи Windows вразливість, що дозволяє організувати виконання коду з привілеями SYSTEM під час запуску операції видалення (Uninstall) програми Git for Windows. Проблема викликана тим, що програма видалення запускається у тимчасовому каталозі, доступному для запису користувачам системи. Атака здійснюється через розміщення DLL, що замінюють, у тимчасовому каталозі, які будуть завантажені при запуску uninstaller з правами SYSTEM.
Джерело: opennet.ru