Опубликованы корректирующие выпуски распределённой системы управления исходными текстами Git 2.35.2, 2.30.3, 2.31.2, 2.32.1, 2.33.2 и 2.34.2, в которых устранены две уязвимости:
- CVE-2022-24765 – на многопользовательских системах с совместно используемыми каталогами выявлена возможность организации атаки, приводящей к запуску команд, определённых другим пользователем. Атакующий может создать каталог “.git” в местах, пересекающихся с другими пользователями (например, в совместно используемых каталогах или каталогах с временными файлами) и разместить в нём файл конфигурации “.git/config” с настройкой обработчиков, вызываемых при выполнении тех или иных команд git (например, для организации выполнения кода можно использовать параметр core.fsmonitor).
Определённые в “.git/config” обработчики будут вызваны с правами другого пользователя, если этот пользователь воспользуется git в каталоге, расположенном уровнем выше, чем созданный атакующим подкаталог “.git”. В том числе вызов может быть совершён косвенно, например, при использовании редакторов кода с поддержкой git, таких как VS Code и Atom, или при применении надстроек, запускающих “git status” (например, Git Bash или posh-git). В версии Git 2.35.2 уязвимость блокирована через изменения логики поиска “.git” в нижележащих каталогах (каталог “.git” теперь не учитывается, если он принадлежит другому пользователю).
- CVE-2022-24767 – специфичная для платформы Windows уязвимость, позволяющая организовать выполнение кода с привилегиями SYSTEM при запуске операции удаления (Uninstall) программы Git for Windows. Проблема вызвана тем, что программа удаления запускается во временном каталоге, доступном на запись пользователям системы. Атака осуществляется через размещение заменяющих DLL во временном каталоге, которые будут загружены при запуске uninstaller с правами SYSTEM.