The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Две уязвимости в Git

12.04.2022 23:36

Опубликованы корректирующие выпуски распределённой системы управления исходными текстами Git 2.35.2, 2.30.3, 2.31.2, 2.32.1, 2.33.2 и 2.34.2, в которых устранены две уязвимости:

  • CVE-2022-24765 - на многопользовательских системах с совместно используемыми каталогами выявлена возможность организации атаки, приводящей к запуску команд, определённых другим пользователем. Атакующий может создать каталог ".git" в местах, пересекающихся с другими пользователями (например, в совместно используемых каталогах или каталогах с временными файлами) и разместить в нём файл конфигурации ".git/config" с настройкой обработчиков, вызываемых при выполнении тех или иных команд git (например, для организации выполнения кода можно использовать параметр core.fsmonitor).

    Определённые в ".git/config" обработчики будут вызваны с правами другого пользователя, если этот пользователь воспользуется git в каталоге, расположенном уровнем выше, чем созданный атакующим подкаталог ".git". В том числе вызов может быть совершён косвенно, например, при использовании редакторов кода с поддержкой git, таких как VS Code и Atom, или при применении надстроек, запускающих "git status" (например, Git Bash или posh-git). В версии Git 2.35.2 уязвимость блокирована через изменения логики поиска ".git" в нижележащих каталогах (каталог ".git" теперь не учитывается, если он принадлежит другому пользователю).

  • CVE-2022-24767 - специфичная для платформы Windows уязвимость, позволяющая организовать выполнение кода с привилегиями SYSTEM при запуске операции удаления (Uninstall) программы Git for Windows. Проблема вызвана тем, что программа удаления запускается во временном каталоге, доступном на запись пользователям системы. Атака осуществляется через размещение заменяющих DLL во временном каталоге, которые будут загружены при запуске uninstaller с правами SYSTEM.


  1. Главная ссылка к новости (https://lore.kernel.org/git/xm...)
  2. OpenNews: Уязвимость в Git для Cygwin, позволяющая организовать выполнение кода
  3. OpenNews: Обновление Git с устранением уязвимости, допускающей удалённое выполнение кода
  4. OpenNews: Критическая уязвимость в Git LFS, проявляющаяся на платформе Windows
  5. OpenNews: Обновление Git с устранением ещё одной уязвимости
  6. OpenNews: В Git устранена уязвимость, которая может привести к выполнению кода атакующего
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/57013-git
Ключевые слова: git
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (45) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 00:16, 13/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –8 +/
    Ну вот, и git уязвимый, и на perforce не перейдёшь. Остаётся только одно:

    $ cvs --version

    Concurrent Versions System (CVS) 1.11.1p1 (client/server)

    Copyright (c) 1989-2001 Brian Berliner, david d 'zoo' zuhn,
                            Jeff Polk, and other authors

     
     
  • 2.3, Аноним (3), 01:18, 13/04/2022 [^] [^^] [^^^] [ответить]  
  • +8 +/
    А как насчет CVE-2017-12836, CVE-2012-0804, CVE-2010-3846, CVE-2005-2693, CVE-2005-0753, CVE-2004-1471, CVE-2004-1343, CVE-2004-1342, CVE-2004-0778, CVE-2004-0418, CVE-2004-0417, CVE-2004-0416, CVE-2004-0414, CVE-2004-0405, CVE-2004-0396, CVE-2004-0180, CVE-2003-0977, CVE-2003-0015, CVE-2002-0844?
    Или дыры в CVS не считаются, потому что это другое?
     
     
  • 3.4, А где же каменты (?), 01:42, 13/04/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    5 лет уже как нет дыр в цвс, так что это другое
     
     
  • 4.6, Аноним (6), 02:05, 13/04/2022 [^] [^^] [^^^] [ответить]  
  • +12 +/
    Нет пользователей -- нет дыр, логично.
     
     
  • 5.13, Аноним (13), 08:59, 13/04/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Как минимум бошьшинство пользователей OpenBSD
     
     
  • 6.31, Аноним (-), 12:19, 13/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Как минимум бошьшинство пользователей OpenBSD

    И чего с ними делать? Ну вот нашел ты это, допустим. И дальше радость с этого чего? Написыть этим мышкам в норку? Им и без тебя это делают. Достаточно успешно иногда. Профита с этого будет ноль, у этих голодранцев врядли есть баунти программа тем более покрывающая CVS, корпам CVS тоже не интересен, а найти системы для атаки - проще белого медведя в Сахаре встретить.

     
  • 6.37, anonymous (??), 17:16, 13/04/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В openbsd сделали opencvs как раз из-за подобных уязвимостей
     
  • 4.15, Аноним (-), 09:18, 13/04/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Вероятно, последние 5 лет хакеры вообще дыры в CVS не искали. А какая с этого радость? Вы еще уязвимости в MSDOS предложите поискать.
     
     
  • 5.17, Анонус (?), 09:49, 13/04/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Учитывая, что под DOS работает всякое торговое оборудование (а возможно и некоторые банкоматы), искать в ней уязвимости не такое уж бессмысленное занятие.
     
     
  • 6.21, Аноним (21), 11:30, 13/04/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Зачем в MS-DOS искать уязвимости? Там всё в одном адресном пространстве. Просто бери и пиши по любому адресу в область DOS.
     
     
  • 7.29, Аноним (-), 12:13, 13/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Зачем в MS-DOS искать уязвимости? Там всё в одном адресном пространстве. Просто
    > бери и пиши по любому адресу в область DOS.

    Ну так по сети/коммуникационным интерфейсам доступ сразу к адресам наверное все же не дают. Если дают - странные люди, тогда это уже бэкдор скорее.

     
  • 7.53, Аноним (53), 17:39, 03/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    В смысле ПО запускается не в виртуальной памяти? То есть процессор не в защищенном режиме?
     
  • 5.26, хакер (?), 12:03, 13/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще-то у нас для этого были предыдущие 25.
    Но нашли пару весьма так себе.

    А радости с этого тебе никакой, кнутователь велит пользоваться git, как все, и ни в коем случае не интересоваться, является ли эта технология хотя бы в части случаев лучшей чем cvs.

     
     
  • 6.33, Аноним (-), 14:38, 13/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Git лучше с управлением версиями справляется - переключая версии быстро и без перекачки половины проекта, для крупных проектов актуально. Да и сервер ему не требуется а локальный реп полноценен, в отличие от. Для своих мелких проектов так тоже намного удобнее чем сервак для cvs делать.

    А кнутователь в этом случае разве что сама жизнь, эффективные инструменты ее облегчают.

     
     
  • 7.39, кнутователь (?), 19:24, 13/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще-то ты путаешься в показаниях. Обычно за это кнутуют сильнее - есть чего скрывать.

    Для крупных проектов обычно неактуально "быстропереключатьверсии". Для них актуально не хранить "полноценный" локальный реп который на самом деле нафиг не упал разработчику. (Возблагодари же MS за предоставленное счастье lfs! И shallow tree, конечно.)
    Или три-пять если на самом деле ты работаешь одновременно в нескольких ветках (ты точно-точно настолько разносторонне одарен?) и не хочешь чистить все дерево и три часа ждать пересборки ради однострочного мержа из одной в другую.

    Для своих мелких проектов чуть выходящих за рамки локалхоста тоже неудобен - именно потому что "сервак для cvs" встроенный, имеет собственную хоть и примитивную авторизацию, и его несложно дополнительно изолировать, а с гитом то ли ssh высовывать наружу, то ли городить поделки а-ля гитеа и подпирать костылями, то и другое для мелкого проекта оверкил.

    > А кнутователь в этом случае разве что сама жизнь, эффективные инструменты ее облегчают.

    Облегчают. Но за попытку их применения в реальном проекте я тебя окнутую (ничего личного, я человек служебный). Поэтому будешь пользоваться git, как велели.

    Насколько я понимаю, примерно так у тебя дела и обстоят - ты вот даже не знаешь что cvs прекрасно работает без всякого выделенного сервера.

     
     
  • 8.45, Аноним (-), 17:46, 14/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    В гите что-то скрывать не очень удобно и логично, это вы гоните Пока не попробу... большой текст свёрнут, показать
     
  • 6.36, Аноним (36), 16:31, 13/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Не является. Ни по каким объективным парамерам. Где-то, как-то, в легаси-нише, где окопались 3½ бородатых анона — возможно. Эдакая киста в теле современного IT. Дальше давай рассказывай, если есть что.
     
  • 2.27, хакер (?), 12:05, 13/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну вот, и git уязвимый, и на perforce не перейдёшь.

    Чемодан, вокзал, Ереван. Переходи. На те $10k которые тебе разрешат увезти в чемодане, примерно пол-года сможешь наслаждаться нормальным инструментом (аренда квартирки в Ереване нынче недешева, перфорса по сравнению с этим - копейки будет стоить)

     
     
  • 3.38, Аноним (38), 19:17, 13/04/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ну вообще-то те, кто съехать хотели - те давно уже кто в Париже, кто в Неймегене, кто в Женеве, кто в Гамильтоне, а кто вообще в Рэдмонде. И никаких сваливших в Армению и Грузию среди них почему-то не наблюдаю.
     
     
  • 4.40, Аноним (40), 19:33, 13/04/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ты путаешь "хотели" с "сумели".

    Не всех ждут с распростертыми объятьями в Париже и Женеве. А в Рэдмонд они могут и не особенно хотеть. Тем более что там уже половина Индии толкается локтями, и это у них получается получше многих. Не все кто хотят при этом готовы и могут себе позволить все бросить и начинать с низов, и не все настолько ценны чтобы им сразу предоставили шоколадные условия.

    А в Армении теперь пол-яндекса (рабов мэйлрушечки кажется не отпустили, там цепь более короткая) - поскольку это миграция без миграции. Рабочее место остается тем же (пока там есть чем платить, конечно), а дышать чуть полегче и виза работает.

     
     
  • 5.44, Аноним (36), 16:11, 14/04/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Не всех ждут с распростертыми объятьями в Париже и Женеве.

    По собственному опыту иммиграции скажу: никого нигде не ждут. Приезжаешь, устраиваешь быт, зарабатываешь деньги. Лет через пять выходишь на тот уровень, с которого сорвался, через ещё пять недоумеваешь как можно было жить в той дыре, из которой уехал. Через ещё пять шлёшь пенсию престарелым родителям размером со среднюю зарплату по городу. Дальше пока не знаю, не дожил ещё.

     
     
  • 6.48, Vacu923ek (ok), 13:31, 15/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    "Там не ждут" имеется ввиду не буквально стоят на вокзале с оркестром, а в том смысле, что обустраиваться сложнее. В России если ты хочешь найти работу - приходишь, на русском языке с русской же HR общаешься, у вас общая культура и понимание. Тебя "ждут" на очередную галеру. За бугром сразу же видят "Джамшута" и с очень большим скепсисом пытаются понять, сколько проблем они огребут, взяв "чужестранца" на работу.
    Я сам имиграцию прошёл (ЮАР) и прямо скажу, первое время съехал в такой дауншифтинг, что готов был воровать хлеб. Но попались добрые люди, приютили, потом и работа (ЧУДОМ!) нашлась. А вот уже с работой - да, всё пошло как на мази.
    И да, я тоже 100% за иммиграцию - незачем гробить жизнь на скрепы, когда можно жить как человек.
     
     
  • 7.49, Тот Самый (?), 21:54, 15/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >незачем гробить жизнь на скрепы, когда можно жить как человек.

    Логичное продолжение фразы - "жить как человек без скреп"

    Мы это уже проходили. "Иван не помнящий родства" — крылатое выражение, фразеологизм, обозначающий человека без убеждений и традиций.
    История этого выражения начинается в царской России, когда пойманные беглые каторжники и крепостные крестьяне, пытаясь скрыть своё прошлое и имя, ссылались при задержании на то, что не помнят своего имени и родства. В полицейских участках их записывали как «Иван, не помнящий родства» (юридический термин того времени). (источник Википедия)

     
     
  • 8.51, Vacu923ek (ok), 00:58, 16/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ты сказать-то что хотел Мне уроки истории нахрен не нужны, ты свою мысль выдай ... текст свёрнут, показать
     
     
  • 9.52, Тот Самый (?), 04:15, 16/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    К огромному сожалению, много сейчас вот таких, которых история ни чему не учит, ... текст свёрнут, показать
     
  • 6.50, Тот Самый (?), 22:24, 15/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >недоумеваешь как можно было жить в той дыре, из которой уехал

    Я думаю здесь будет уместно привести старый анекдот.

    Беседуют два червячка, папа и сын.
    Сын: Папа, а правда, что кто-то живет в яблоке, где вкусно и тепло?
    Папа: Правда.
    Сын: Папа, а правда, что кто-то живет в груше, где еще вкуснее?
    Папа: Правда.
    Сын: Папа, а почему мы живем в навозной куче?
    Папа: Понимаешь, сынок, есть такое понятие - Родина!

    Кто-то выбирает свалить любым способом туда, где вкусно и тепло.А кто-то остается в навозной куче и пытается своей работой хоть что-нибудь исправить.
    И не надо строить иллюзий: кроме нас никто (западные "друзья и партнеры") эту кучу исправлять не будет.

     
  • 2.47, Vacu923ek (ok), 13:24, 15/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Вот и выросла школота, не понимающая ценности Mercurial!
     

  • 1.2, А где же каменты (?), 00:33, 13/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это опасно?
     
     
  • 2.5, Ivan_83 (ok), 01:59, 13/04/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Нет, тебе же по русски написали: на совместно используемых системах.
    У тебя на компе ещё сколько учёток заведено?
    Или ты с гитом работаешь на подмонтированных шарах?

    Правда остаётся вариант с засылкой в архиве описанного в новости и таким образом активации.

    Но в общем нет, это довольно специфичный авторан основанный на гите.

     
     
  • 3.28, хакер (?), 12:06, 13/04/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Э... блжад, стесняюсь спросить - у тебя разработчики не имеют доступа ни к какой shared системе? Или на твоем локалхосте только один разработчик, ты?

    А то у меня на компе одна учетка, но я и моя тульпа не занимаемся "разработкой" на нем. Только смотрим прон.

     
     
  • 4.35, Аноним (-), 14:41, 13/04/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не очень понятно зачем VCS и ее внутренности на shared выкладывать. А через vcs взаимодействовать не пробовали вместо файлшар? :)
     
  • 4.42, Ivan_83 (ok), 05:03, 14/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Они на шаред системах не работают с гитом.
    И в целом им там нечего особо делать, всю работу они работают у себя локально:
    - открыл тикет браузером
    - всосал гитом изменения, завёл бранч, пофиксил, запушил
    - отписал в тикет через браузер

    На файлопомойках только образы валяются, игрухи и киношки с музоном, работать там с гитом так себе идея в виду высокого латенсити как минимум, да и смысла в этом нет.

     
     
  • 5.43, пох. (?), 10:49, 14/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > И в целом им там нечего особо делать, всю работу они работают у себя локально:

    ни тестирования, ни отладки - запушил, пописал в тикет, следующий.

    Удобно, да.

     
  • 2.10, Аноним (10), 05:38, 13/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Это фича.

    > Атака осуществляется через размещение заменяющих DLL во временном каталоге, которые будут загружены при запуске uninstaller с правами SYSTEM

     
     
  • 3.16, Аноним (-), 09:20, 13/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Это фича.

    Это как разведчик и шпион - делают одно и то же, но результат разный.

     

  • 1.7, Аноним (10), 04:21, 13/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Атака осуществляется через размещение заменяющих DLL во временном каталоге, которые будут загружены при запуске uninstaller с правами SYSTEM

    Какая прелесть!

     
     
  • 2.20, git (?), 11:28, 13/04/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > > Атака осуществляется через размещение заменяющих DLL во временном каталоге, которые будут загружены при запуске uninstaller с правами SYSTEM
    > Какая прелесть!

    А при чем тут git?
    Чуть менее че любое гoвнo (включая мелкомягкое) под Windows, ведет себя аналогичным штатным для системы образом.

     

  • 1.8, Аноним (8), 04:59, 13/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > Атакующий может создать каталог ".git" в местах, пересекающихся с другими пользователями (например, в совместно используемых каталогах или каталогах с временными файлами) и разместить в нём файл конфигурации ".git/config" с настройкой обработчиков

    Ясно. А уязвимость в чем? Выглядит как фича

     
     
  • 2.9, Аноним (10), 05:35, 13/04/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > вызов может быть совершён косвенно, например, при использовании редакторов кода

    Когда редактор шарится по папкам и запускает оттуда всякую чужую хрень - это как-то ненормально.

     
     
  • 3.11, Аноним (11), 07:05, 13/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    нормально-нормально. Испокон веков ворд запускает всякую чушь из макросов, блендер запускает питоно-чушь в бленд-файлах, IDEA/vscode запускают чушь из package.json и .git. Все озвученные софтины выдают предупреждение, доверяете ли вы источнику.
     
     
  • 4.18, System Volime Speret Xml (?), 10:03, 13/04/2022 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Нo да виндожвс же более бежопасен
     

  • 1.14, Аноним (-), 09:17, 13/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да... такие уязвимости... одна у бакланов с вскодом и помойкой в фс, у других хрен проэксплуатируешь. Другая вообще тольк в маздае проявляется, они все-равно там привычные.
     
  • 1.24, Аноним (24), 11:57, 13/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    никогда не было и вот, опять!

     
  • 1.41, Аноним (-), 20:02, 13/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    По поводу этих уязвимостей. Разбудите Линуса!
     
  • 1.46, Vacu923ek (ok), 13:22, 15/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Git - это сама по себе уязвимость. Уязвлённое чувство самолюбия Трольвадса :) Как же так - у других есть адекватный DVCS, а у меня нет! Вот и склепал чудище....
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру