ექსპლუატაციის შემთხვევაში, ამ ხარვეზებმა თავდამსხმელებს შეუძლიათ მიიღონ არაავტორიზებული წვდომა სენსიტიურ ინფორმაციაზე ან ზოგადად გამოიწვიოს პრობლემები
განსხვავებულის გამოცემასისტემის შესწორების რელიზები განაწილებული წყაროს კონტროლი გიტი, რომელშიც დაუცველობის ორი გამოსწორება განხორციელდა რომ გამოვლინდა.
აღმოჩენილ ფალოსებთან დაკავშირებით აღნიშნულია, რომ ეს საშუალებას გაძლევთ მოაწყოთ თქვენი კოდის შესრულება მომხმარებლის სისტემაზე "git archive" ბრძანების გამოყენებისას და არასანდო გარე საცავებთან მუშაობისას.
დაუცველობა გამოწვეულია შეცდომებით commit ფორმატის კოდში და ფაილის ანალიზში ".gitattributes", რომელიც გარე საცავების დამუშავებისას შეიძლება გამოიწვიოს ჩაწერა მეხსიერების მიღმა ზონაში და მეხსიერებიდან თვითნებური მონაცემების წაკითხვა.
ორივე დაუცველობა იდენტიფიცირებული იქნა Git კოდების ბაზის უსაფრთხოების აუდიტის დროს, დამზადებულია X41-ის მიერ OSTIF-ისთვის (ღია კოდის ტექნოლოგიების გაუმჯობესების ფონდი), შექმნილი ღია კოდის პროექტების უსაფრთხოების გასაძლიერებლად.
ქვემოთ განხილული ორი კრიტიკული საკითხის გარდა, აუდიტმა ასევე აღმოაჩინა ერთი მძიმე დაუცველობა, ერთი საშუალო სიმძიმის დაუცველობა და ოთხი არასახიფათო საკითხი. გარდა ამისა, გაკეთდა 27 რეკომენდაცია კოდების ბაზის უსაფრთხოების გასაუმჯობესებლად.
- CVE-2022-41903: მთელი რიცხვის გადადინება commit info ფორმატის კოდში, როდესაც ამუშავებთ დიდ ოფსეტურ მნიშვნელობებს შიგთავსის ინსტრუქციებში, როგორიცაა "%<(", "%<|(", "%>(", "%>>" და "%><( )" ფუნქციაში ხდება მთელი რიცხვის გადადინება format_and_pad_commit() ზომის_t ცვლადისთვის int ტიპის გამოყენების გამო, რომელიც, როდესაც memcpy() გამოიძახება, მონაწილეობს ბლოკის ასლის ოფსეტური ზომის განსაზღვრაში.
დაუცველობა ვლინდება როგორც უშუალოდ სპეციალურად შემუშავებული ფორმატის პარამეტრებით გამოძახებისას (მაგალითად, "git log --format=..." გაშვებისას), ასევე როდესაც ფორმატირება გამოიყენება არაპირდაპირი გზით "git archive" ბრძანების შესრულებისას საცავი, რომელსაც აკონტროლებს თავდამსხმელი.
მეორე შემთხვევაში, ფორმატის მოდიფიკატორები დაყენებულია ".gitattributes" ფაილში Export-subst პარამეტრის მეშვეობით, რომელიც თავდამსხმელს შეუძლია მოათავსოს თავის საცავში. ამ საკითხის გამოყენება შესაძლებელია გროვაზე თვითნებური უბნების წაკითხვისა და ჩაწერისთვის და მავნე კოდის აღსრულების გამოწვევა დაუმოწმებელ საცავებთან მუშაობისას.
- CVE-2022-23521: მთელი რიცხვის გადადინება .gitattributes ფაილების შიგთავსის გაანალიზებისას საცავში, რაც გამოიხატება დიდი რაოდენობის ფაილის ბილიკების შაბლონების ან დიდი რაოდენობის ატრიბუტების ერთი ნიმუშით და ძალიან დიდი ატრიბუტის ანალიზის დროს. დიდი სახელები საკითხის გამოყენება შესაძლებელია. წაიკითხოს და ჩაწეროს თვითნებური უბნები გროვაზე და გამოიწვიოს თავდამსხმელის კოდის შესრულება დაუმოწმებელ საცავთან მუშაობისას, სადაც თავდამსხმელს შეუძლია მოათავსოს სპეციალურად შემუშავებული .gitattributes ფაილი და დარწმუნდეს, რომ ის შედის ინდექსში.
გარდა ამისა, შეიძლება აღინიშნოს კიდევ ერთი დაუცველობა (CVE-2022-41953) Git for Windows პროდუქტში, რომელიც საშუალებას გაძლევთ მოაწყოთ კოდის შესრულება გრაფიკული ინტერფეისის მეშვეობით დაუმოწმებელი გარე საცავების კლონირებისას.
პრობლემა განპირობებულია იმით, რომ Git for Windows GUI ოპერაციის შემდეგ of "შეგამოწმეt» ავტომატურად აწარმოებს დამუშავების შემდგომ ზოგიერთ ბრძანებას, როგორიცაა მართლწერის შემოწმების პროგრამის გაშვება მართლწერის შესამოწმებლად, მიუხედავად იმისა, რომ მართლწერის შემოწმების ფაილის ძიების ბილიკები ფარავს კლონირებულ სამუშაო ხეს (შეტევა მთავრდება მართლწერის შემოწმების დამატებაზე საცავის სამუშაოს ხეზე. ).
დისტრიბუციებში პაკეტის განახლებების გამოშვება შეგიძლიათ თვალყური ადევნოთ გვერდებს: Debian, Ubuntu, Gentoo, rhel, სუსე, თაღი, FreeBSD y NetBSD
შეტევის რისკის შესამცირებლად თუ განახლება ვერ დაინსტალირდება დროულად, რეკომენდირებულია თავი შეიკავოთ არასანდო საცავებთან მუშაობისგან და "git archive" ბრძანების გამოყენებით.
მნიშვნელოვანია გვახსოვდეს, რომ ბრძანება "git არქივი» შეიძლება გაშვებული იყოს იმპლიციტურად, მაგალითად, git დემონის შიგნიდან. რომ გამორთოთ შესრულება «git ფაილიe” git daemon-ში შეცვალეთ პარამეტრი დემონი.ატვირთვაარქ ბრძანებით "git config --global daemon.uploadArch false".
იყავი პირველი კომენტარი