СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
14.05.2024
#Dev#ИБ

Уязвимость BDU:2024-03872

Уязвимость BDU:2024-03872

Идентификатор: BDU:2024-03872.

Наименование уязвимости: Уязвимость распределенной системы контроля версий Git, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю выполнить произвольный код.

Описание уязвимости: Уязвимость распределенной системы контроля версий Git связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
Уязвимое ПО: Прикладное ПО информационных систем Linus Torvalds, Junio Hamano Git от 2.39.0 до 2.39.4 | Прикладное ПО информационных систем Linus Torvalds, Junio Hamano Git от 2.40.0 до 2.40.2 | Прикладное ПО информационных систем Linus Torvalds, Junio Hamano Git от 2.41.0 до 2.41.1 | Прикладное ПО информационных систем Linus Torvalds, Junio Hamano Git от 2.42.0 до 2.42.2 | Прикладное ПО информационных систем Linus Torvalds, Junio Hamano Git от 2.43.0 до 2.43.4 | Прикладное ПО информационных систем Linus Torvalds, Junio Hamano Git от 2.44.0 до 2.44.1 | Прикладное ПО информационных систем Linus Torvalds, Junio Hamano Git от 2.45.0 до 2.45.1 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 14.05.2024.
CVSS 2.0: AV:N/AC:H/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9)

Возможные меры по устранению:
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
— отключение функционала поддержки символических ссылок (например, git config —global core.symlinks false);
— ограничение возможности клонирования репозиториев из недоверенных источников;
— использование средств межсетевого экранирования для ограничения возможности удалённого доступа;
— использование антивирусного программного обеспечения для отслеживания попыток эксплуатации уязвимости.

Иcпользование рекомендаций производителя:
https://git-scm.com/docs/git-config#Documentation/git-config.txt-coresymlinks
https://git-scm.com/docs/git-clone#Documentation/git-clone.txt—recurse-submodulesltpathspecgt
https://github.com/git/git/commit/97065761333fd62db1912d81b489db938d8c991d
https://github.com/git/git/security/advisories/GHSA-8h77-4q3w-gfgv.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2024-32002.

Тип ошибки CWE: CWE-22, CWE-434
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://git-scm.com/docs/git-config#Documentation/git-config.txt-coresymlinks
https://git-scm.com/docs/git-clone#Documentation/git-clone.txt—recurse-submodulesltpathspecgt
https://github.com/git/git/commit/97065761333fd62db1912d81b489db938d8c991d
https://github.com/git/git/security/advisories/GHSA-8h77-4q3w-gfgv

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: