分散式原始碼控制系統 Git 2.35.2、2.30.3、2.31.2、2.32.1、2.33.2 和 2.34.2 的修正版本已發布,修復了兩個漏洞:
- CVE-2022-24765 – 在具有共享目錄的多用戶系統上,已發現可能導致執行另一個用戶定義的命令的攻擊。 攻擊者可以在與其他使用者重疊的位置(例如,在共享目錄或帶有臨時文件的目錄中)建立“.git”目錄,並在其中放置一個“.git/config”配置文件,其中包含以下情況下方呼叫的處理程序的配置:執行某些任務的 git 命令(例如,可以使用 core.fsmonitor 參數來組織程式碼執行)。
如果另一個使用者在比攻擊者建立的「.git」子目錄更高層級的目錄中使用 git,則「.git/config」中定義的處理程序將以另一個使用者的權限呼叫。 也可以間接進行調用,例如,當使用支援 git 的程式碼編輯器(例如 VS Code 和 Atom)時,或使用執行“git status”的附加元件(例如,Git Bash 或 posh-git)時。 在 Git 2.35.2 中,透過更改在底層目錄中搜尋「.git」的邏輯來阻止漏洞(如果「.git」目錄屬於其他用戶,則現在不考慮該目錄)。
- CVE-2022-24767 是一個 Windows 平台特定漏洞,允許在執行 Git for Windows 程式的解除安裝作業時以 SYSTEM 權限執行程式碼。 該問題是由於卸載程式在系統使用者可寫入的臨時目錄中運行而引起的。 該攻擊是透過將替換 DLL 放置在臨時目錄中來進行的,該目錄將在使用 SYSTEM 權限啟動卸載程式時載入。
來源: opennet.ru