Git исправляет две критические уязвимости безопасности удаленного выполнения кода
22 января 2023 г.Исследователи по кибербезопасности из X41 и GitLab обнаружили три уязвимости высокой степени серьезности в распределенной системе управления версиями Git.
Эти недостатки могли позволить злоумышленникам запускать произвольный код на целевых конечных точках, используя динамическую память. уязвимости переполнения буфера, говорят исследователи. Из трех уязвимостей для двух уже подготовлены исправления, а для третьего доступно обходное решение.
Две исправленные уязвимости отслеживаются как CVE-2022-41903 и CVE-2022-23521. Разработчикам, желающим защитить свои устройства, следует обновить Git до версии 2.30.7. Третий отслеживается как CVE-2022-41953, и обходной путь заключается в том, чтобы не использовать программное обеспечение Git GUI для клонирования репозиториев. По мнению BleepingComputer, еще один способ обезопасить себя — полностью отказаться от клонирования из ненадежных источников.
Исправления и обходные пути
"Наиболее серьезная обнаруженная проблема позволяет злоумышленнику инициировать повреждение памяти в динамической памяти во время операций клонирования или извлечения, что может привести к выполнению кода. Еще одна критическая проблема позволяет выполнять код во время операции архивирования, которая обычно выполняется Git. подделок», — сообщают исследователи в своем объяснении инцидента.
"Кроме того, было выявлено огромное количество проблем, связанных с целочисленными значениями, которые могут привести к ситуациям отказа в обслуживании, чтению вне границ или просто плохо обработанному углу кейсы на большие входные данные."
С тех пор Git выпустил несколько дополнительных версий, поэтому на всякий случай убедитесь, что вы используете последнюю версию Git – 2.39.1.
BleepingComputer
BleepingComputer
em> отмечает, что тем, кто не может применить патч немедленно, следует отключить «git-архив» в ненадежных репозиториях или избегать запуска команды в ненадежных репозиториях. Кроме того, если «git-архив» доступен через «git-демон», пользователи должны отключить его при работе с ненадежными хранилищами. Это можно сделать с помощью команды «git config –global daemon.upladArch false», говорится в сообщении.«Мы настоятельно рекомендуем, чтобы все установки, использующие версию, затронутую проблемами [..], последнюю версию как можно скорее», GitLab предупрежден.
- Вот наш краткий обзор наилучшей защиты конечных точек. сегодня
Через: BleepingComputer
Оригинал