СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
14.05.2024
#Dev#ИБ

Уязвимость BDU:2024-03872

Уязвимость BDU:2024-03872

Идентификатор: BDU:2024-03872.

Наименование уязвимости: Уязвимость распределенной системы контроля версий Git, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю выполнить произвольный код.

Описание уязвимости: Уязвимость распределенной системы контроля версий Git связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
Уязвимое ПО: Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 | Прикладное ПО информационных систем Linus Torvalds, Junio Hamano Git от 2.39.0 до 2.39.4 | Прикладное ПО информационных систем Linus Torvalds, Junio Hamano Git от 2.40.0 до 2.40.2 | Прикладное ПО информационных систем Linus Torvalds, Junio Hamano Git от 2.41.0 до 2.41.1 | Прикладное ПО информационных систем Linus Torvalds, Junio Hamano Git от 2.42.0 до 2.42.2 | Прикладное ПО информационных систем Linus Torvalds, Junio Hamano Git от 2.43.0 до 2.43.4 | Прикладное ПО информационных систем Linus Torvalds, Junio Hamano Git от 2.44.0 до 2.44.1 | Прикладное ПО информационных систем Linus Torvalds, Junio Hamano Git от 2.45.0 до 2.45.1 | Операционная система АО «НППКТ» ОСОН ОСнова Оnyx до 2.11 |

Наименование ОС и тип аппаратной платформы: Astra Linux Special Edition 17 | Astra Linux Special Edition 47 ARM | ОСОН ОСнова Оnyx до 211 |
Дата выявления: 14.05.2024.
CVSS 2.0: AV:N/AC:H/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9)

Возможные меры по устранению:
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
— отключение функционала поддержки символических ссылок (например, git config —global core.symlinks false);
— ограничение возможности клонирования репозиториев из недоверенных источников;
— использование средств межсетевого экранирования для ограничения возможности удалённого доступа;
— использование антивирусного программного обеспечения для отслеживания попыток эксплуатации уязвимости.

Иcпользование рекомендаций производителя:
https://git-scm.com/docs/git-config#Documentation/git-config.txt-coresymlinks
https://git-scm.com/docs/git-clone#Documentation/git-clone.txt—recurse-submodulesltpathspecgt
https://github.com/git/git/commit/97065761333fd62db1912d81b489db938d8c991d
https://github.com/git/git/security/advisories/GHSA-8h77-4q3w-gfgv

Для ОСОН ОСнова Оnyx (2.11):
Обновление программного обеспечения git до версии 1:2.45.2-1

Для ОС Astra Linux:
обновить пакет git до 1:2.30.2-1+deb11u2+ci202407011525+astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет git до 1:2.30.2-1+deb11u2+ci202407011525+astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2024-32002.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://git-scm.com/docs/git-config#Documentation/git-config.txt-coresymlinks
https://git-scm.com/docs/git-clone#Documentation/git-clone.txt—recurse-submodulesltpathspecgt
https://github.com/git/git/commit/97065761333fd62db1912d81b489db938d8c991d
https://github.com/git/git/security/advisories/GHSA-8h77-4q3w-gfgv
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.11/
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: