Выпуск Git 2.35.2 с устранением уязвимостей

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
13-Апр-2022 02:30

Опубликованы корректирующие выпуски распределённой системы управления исходными текстами Git 2.35.2, 2.30.3, 2.31.2, 2.32.1, 2.33.2 и 2.34.2, в которых устранены две уязвимости:
  • CVE-2022-24765 - на многопользовательских системах с совместно используемыми каталогами выявлена возможность организации атаки, приводящей к запуску команд, определённых другим пользователем. Атакующий может создать каталог ".git" в местах, пересекающихся с другими пользователями (например, в совместно используемых каталогах или каталогах с временными файлами) и разместить в нём файл конфигурации ".git/config" с настройкой обработчиков, вызываемых при выполнении тех или иных команд git (например, для организации выполнения кода можно использовать параметр core.fsmonitor).
    Определённые в ".git/config" обработчики будут вызваны с правами другого пользователя, если этот пользователь воспользуется git в каталоге, расположенном уровнем выше, чем созданный атакующим подкаталог ".git". В том числе вызов может быть совершён косвенно, например, при использовании редакторов кода с поддержкой git, таких как VS Code и Atom, или при применении надстроек, запускающих "git status" (например, Git Bash или posh-git). В версии Git 2.35.2 уязвимость блокирована через изменения логики поиска ".git" в нижележащих каталогах (каталог ".git" теперь не учитывается, если он принадлежит другому пользователю).
  • CVE-2022-24767 - специфичная для платформы Windows уязвимость, позволяющая организовать выполнение кода с привилегиями SYSTEM при запуске операции удаления (Uninstall) программы Git for Windows. Проблема вызвана тем, что программа удаления запускается во временном каталоге, доступном на запись пользователям системы. Атака осуществляется через размещение заменяющих DLL во временном каталоге, которые будут загружены при запуске uninstaller с правами SYSTEM.

===========
Источник:
OpenNet.RU
===========

Похожие новости: Теги для поиска: #_git
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 22-Ноя 19:13
Часовой пояс: UTC + 5