12.04.2022

Уязвимость BDU:2022-02723

Идентификатор: BDU:2022-02723.

Наименование уязвимости: Уязвимость распределенной системы управления версиями Git, связанная с недостатками разграничения доступа, позволяющая нарушителю повысить свои привилегии или выполнить произвольные команды.

Описание уязвимости: Уязвимость распределенной системы управления версиями Git связана с возможностью создать папку «C:.git». Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, запускать произвольные команды
Уязвимое ПО: Операционная система Debian GNU/Linux 9 | Операционная система Canonical Ltd. Ubuntu 18.04 LTS | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» | Операционная система Debian GNU/Linux 10 | Операционная система Canonical Ltd. Ubuntu 20.04 LTS | Прикладное ПО информационных систем Microsoft Corp Microsoft Visual Studio 2019 от 16.0 до 16.6 включительно | Прикладное ПО информационных систем Microsoft Corp Microsoft Visual Studio 2019 от 16.0 до 16.8 включительно | Операционная система Fedora Project Fedora 34 | Операционная система Debian GNU/Linux 11 | Операционная система Fedora Project Fedora 35 | Операционная система Canonical Ltd. Ubuntu 21.10 | Операционная система ООО «Ред Софт» РЕД ОС 7.3 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 | Прикладное ПО информационных систем Microsoft Corp Microsoft Visual Studio 2022 17.0 | Операционная система Fedora Project Fedora 36 | Прикладное ПО информационных систем Linus Torvalds, Junio Hamano Git до 2.35.2 | Прикладное ПО информационных систем Microsoft Corp Microsoft Visual Studio 2022 17.1 | Прикладное ПО информационных систем Apple Inc. Xcode до 13.4 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 | Операционная система АО «НППКТ» ОСОН ОСнова Оnyx до 2.5 | Прикладное ПО информационных систем Microsoft Corp Microsoft Visual Studio 2017 от 15.0 до 15.8 включительно | Прикладное ПО информационных систем Microsoft Corp Microsoft Visual Studio 2019 от 16.0 до 16.10 включительно |

Возможные меры по устранению:
Использование рекомендаций:

Для Git:
https://git-scm.com/downloads

Для продуктов Red Hat Inc.:

https://access.redhat.com/hydra/rest/securitydata/cve/CVE-2022-24765.xml

Для Ubuntu:

https://ubuntu.com/security/CVE-2022-24765

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2022-24765

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/5PTN5NYEHYN2OQSHSAMCNICZNK2U4QH6/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BENQYTDGUL6TF3UALY6GSIEXIHUIYNWM/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SLP42KIZ6HACTVZMZLJLFJQ4W2XYT27M/

Для продуктов Microsoft Corp.:
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-24765

Для Apple Xcode:
https://support.apple.com/kb/HT213261

Организационные меры:
Пользователи, которые не имеют возможности выполнить обновление, могут:
1. Создать папку `.git` на всех дисках, где выполняются команды Git, и удалить доступ для чтения/записи к этим папкам
2. Определить GIT_CEILING_DIRECTORIES переменную среды , чтобы она содержала родительский каталог вашего профиля пользователя (т . е. /Users в macOS,
/homeLinux и C:UsersWindows)
3. Избегайть запуска Git на многопользовательских компьютерах, если ваш текущий рабочий каталог не находится в доверенном репозитории

Для ОСОН Основа:
Обновление программного обеспечения git до версии 1:2.36.1-1

Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD

Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD

Для Astra Linux Special Edition 1.6 «Смоленск»::
обновить пакет git до 1:2.11.0-3+deb9u10+ci202408021513+astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-24765.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://github.com/git-for-windows/git/security/advisories/GHSA-vw2c-22j4-2fh2
https://packetstormsecurity.com/files/cve/CVE-2022-24765
https://redos.red-soft.ru/support/secure/
http://seclists.org/fulldisclosure/2022/May/31
http://www.openwall.com/lists/oss-security/2022/04/12/7
https://git-scm.com/book/en/v2/Appendix-A%3A-Git-in-Other-Environments-Git-in-Bash
https://git-scm.com/docs/git#Documentation/git.txt-codeGITCEILINGDIRECTORIEScode
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/5PTN5NYEHYN2OQSHSAMCNICZNK2U4QH6/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BENQYTDGUL6TF3UALY6GSIEXIHUIYNWM/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SLP42KIZ6HACTVZMZLJLFJQ4W2XYT27M/
https://support.apple.com/kb/HT213261
https://nvd.nist.gov/vuln/detail/CVE-2022-24765
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-24765
https://github.blog/2022-04-12-git-security-vulnerability-announced/
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5/
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16

Автор: ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.

Комментарии: