分布式源代码控制系统Git 2.35.2、2.30.3、2.31.2、2.32.1、2.33.2和2.34.2的修正版本已发布,其中修复了两个漏洞:
- CVE-2022-24765 - 在具有共享目录的多用户系统上发现了一种攻击,该攻击可能导致执行另一个用户定义的命令。 攻击者可以在与其他用户交叉的地方(例如,在共享目录或带有临时文件的目录中)创建“.git”目录,并在其中放置一个“.git/config”配置文件,其中包含处理程序的配置当执行某些任务时调用 git 命令(例如可以使用 core.fsmonitor 参数来组织代码执行)。
如果用户在比攻击者创建的“.git”子目录更高的目录中访问 git,则“.git/config”中定义的处理程序将作为不同的用户被调用。 可以间接进行调用,例如,当使用支持 git 的代码编辑器(例如 VS Code 和 Atom)时,或者使用触发“git 状态”的附加组件(例如,Git Bash 或 posh-git)时。 在 Git 2.35.2 版本中,通过更改在底层目录中搜索“.git”的逻辑来阻止该漏洞(如果“.git”目录属于其他用户,则该目录现在将被忽略)。
- CVE-2022-24767 是一个特定于 Windows 的漏洞,允许在运行 Git for Windows 的卸载操作时以 SYSTEM 权限执行代码。 该问题是由在系统用户可写的临时目录中运行的卸载程序引起的。 该攻击是通过将替换 DLL 放置在临时目录中来进行的,当使用 SYSTEM 权限运行卸载程序时将加载该目录。
来源: opennet.ru