Выпуск Git 2.35.2 с устранением уязвимостей
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Опубликованы корректирующие выпуски распределённой системы управления исходными текстами Git 2.35.2, 2.30.3, 2.31.2, 2.32.1, 2.33.2 и 2.34.2, в которых устранены две уязвимости:
- CVE-2022-24765 - на многопользовательских системах с совместно используемыми каталогами выявлена возможность организации атаки, приводящей к запуску команд, определённых другим пользователем. Атакующий может создать каталог ".git" в местах, пересекающихся с другими пользователями (например, в совместно используемых каталогах или каталогах с временными файлами) и разместить в нём файл конфигурации ".git/config" с настройкой обработчиков, вызываемых при выполнении тех или иных команд git (например, для организации выполнения кода можно использовать параметр core.fsmonitor).
Определённые в ".git/config" обработчики будут вызваны с правами другого пользователя, если этот пользователь воспользуется git в каталоге, расположенном уровнем выше, чем созданный атакующим подкаталог ".git". В том числе вызов может быть совершён косвенно, например, при использовании редакторов кода с поддержкой git, таких как VS Code и Atom, или при применении надстроек, запускающих "git status" (например, Git Bash или posh-git). В версии Git 2.35.2 уязвимость блокирована через изменения логики поиска ".git" в нижележащих каталогах (каталог ".git" теперь не учитывается, если он принадлежит другому пользователю).
- CVE-2022-24767 - специфичная для платформы Windows уязвимость, позволяющая организовать выполнение кода с привилегиями SYSTEM при запуске операции удаления (Uninstall) программы Git for Windows. Проблема вызвана тем, что программа удаления запускается во временном каталоге, доступном на запись пользователям системы. Атака осуществляется через размещение заменяющих DLL во временном каталоге, которые будут загружены при запуске uninstaller с правами SYSTEM.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://lore.kernel.org/git/xm...)
- OpenNews: Уязвимость в Git для Cygwin, позволяющая организовать выполнение кода
- OpenNews: Обновление Git с устранением уязвимости, допускающей удалённое выполнение кода
- OpenNews: Критическая уязвимость в Git LFS, проявляющаяся на платформе Windows
- OpenNews: Обновление Git с устранением ещё одной уязвимости
- OpenNews: В Git устранена уязвимость, которая может привести к выполнению кода атакующего
Похожие новости:
- GitHub реализовал возможность упреждающей блокировки утечек токенов к API
- Уязвимость в GitLab, позволяющая захватить аккаунты, авторизированные через OAuth, LDAP и SAML
- Уязвимость в GitLab, позволяющая получить доступ к токенам Runner
- GitHub внедрил систему машинного обучения для поиска уязвимостей в коде
- В NPM включена обязательная двухфакторная аутентификация для 100 самых популярных пакетов
- Выпуск системы управления исходными текстами Git 2.35
- Выпуск системы совместной разработки GitBucket 4.37
- GitHub внедряет в NPM обязательную расширенную верификацию учётных записей
- Проект elfshaker развивает систему контроля версий для ELF-файлов
- GitHub опубликовал статистику за 2021 год
Теги для поиска: #_git
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 23-Ноя 00:18
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
Опубликованы корректирующие выпуски распределённой системы управления исходными текстами Git 2.35.2, 2.30.3, 2.31.2, 2.32.1, 2.33.2 и 2.34.2, в которых устранены две уязвимости:
=========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 23-Ноя 00:18
Часовой пояс: UTC + 5