V systéme pre riadenie revízií Git boli opravené dve kritické zraniteľnosti vedúce ku pretečeniu medzipamäte na halde. Tretia zraniteľnosť spojená s nedostatočnou kontrolou spúšťaného súboru je hodnotená ako vysoko závažná. Všetky tri umožňujú útočníkom vzdialené vykonávanie kódu.
Opis činnosti:
CVE-2022-23521 (CVSSv3 9,8)
Kritická zraniteľnosť v Git, ktorá umožňuje útočníkom vzdialené vykonávanie kódu. Pri spracovaní súboru .gitattributes z indexu môže nastať pretečenie celočíselnej premennej vo viacerých prípadoch, napríklad ak súbor obsahuje veľký počet vzorov ciest, atribútov pre vzor alebo ak sú deklarované názvy atribútov dostatočne dlhé. To vedie k možnosti ľubovoľného čítania a zápisu na halde a následne vzdialeného vykonávania kódu. Útočník môže zraniteľnosť zneužiť podvrhnutím špeciálne vytvoreného súboru .gitattributes, ktorý môže byť súčasťou histórie commitov.
CVE-2022-41903 (CVSSv3 9,8)
Kritická zraniteľnosť v Git, ktorá umožňuje útočníkom vzdialené vykonávanie kódu. Pretečenie celočíselnej premennej môže nastať pri spracovaní paddingového operátora napríklad pri volaní „git log –format=…“ alebo nepriamo pri „git archive“ cez mechanizmus „export-subst“. To môže viesť k ľubovoľnému zápisu na haldu a následne vzdialenému vykonávaniu kódu.
CVE-2022-41953 (CVSSv3 8,6)
Závažná zraniteľnosť Git pre Windows, ktorá sa nachádza v grafickom rozhraní Git GUI a umožňuje vykonávať ľubovoľný kód. Git GUI po naklonovaní repozitára automaticky spúšťa kontrolu gramatiky, ak nájde súbor aspell.exe. Zraniteľné verzie vyhľadávajú tento súbor v aktuálne otvorenom adresári, t.j. hlavnom adresári naklonovaného repozitáru. Útočník tak môže do hlavného adresára repozitáru umiestniť škodlivý súbor aspell.exe, ktorý sa automaticky vykoná.
Zraniteľné systémy:
Git v2.30.6, v2.31.5, v2.32.4, v2.33.5, v2.34.5, v2.35.5, v2.36.3, v2.37.4, v2.38.2, v2.39.0 a staršie
Git-for-win v2.39.0(2)
Závažnosť zraniteľnosti: Vysoká
Možné škody:
- Vzdialené vykonávanie kódu
Odporúčania:
Bezodkladná aktualizácia Git aspoň na verziu v2.30.7, v2.31.6, v2.32.5, v2.33.6, v2.34.6, v2.35.6, v2.36.4, v2.37.5, v2.38.3 alebo v2.39.1 a Git-for-win aspoň na v2.39.1.
Ak je aktualizácia nežiaduca, zraniteľnosť CVE-2022-41903 možno mitigovať zakázaním git archive v nedôveryhodných repozitároch. Ak je git archive vystavený cez git daemon, zakážte ho príkazom „git config –global daemon.uploadArch false“.
Zraniteľnosť CVE-2022-41953 možno mitigovať nepoužívaním grafického rozhrania pri klonovaní repozitárov, resp. klonovaním len z dôveryhodných zdrojov.
Pre CVE-2022-23521 mitigácia nie je dostupná.
Odkazy:
https://github.com/git/git/security/advisories/GHSA-c738-c5qq-xg89
https://github.com/git/git/security/advisories/GHSA-475x-2q3q-hvwq
https://github.com/git-for-windows/git/security/advisories/GHSA-v4px-mx59-w99c
Zdroj: csirt.gov.sk
