Уязвимость распределенной системы управления версиями Git связана с возможностью создать папку "C:\.git". Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, запускать произвольные команды
Использование рекомендаций:
Для Git:
https://git-scm.com/downloads
Для продуктов Red Hat Inc.:
https://access.redhat.com/hydra/rest/securitydata/cve/CVE-2022-24765.xml
Для Ubuntu:
https://ubuntu.com/security/CVE-2022-24765
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-24765
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/5PTN5NYEHYN2OQSHSAMCNICZNK2U4QH6/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BENQYTDGUL6TF3UALY6GSIEXIHUIYNWM/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SLP42KIZ6HACTVZMZLJLFJQ4W2XYT27M/
Для продуктов Microsoft Corp.:
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-24765
Для Apple Xcode:
https://support.apple.com/kb/HT213261
Организационные меры:
Пользователи, которые не имеют возможности выполнить обновление, могут:
1. Создать папку `.git` на всех дисках, где выполняются команды Git, и удалить доступ для чтения/записи к этим папкам
2. Определить GIT_CEILING_DIRECTORIES переменную среды , чтобы она содержала родительский каталог вашего профиля пользователя (т . е. /Users в macOS,
/homeLinux и C:\UsersWindows)
3. Избегайть запуска Git на многопользовательских компьютерах, если ваш текущий рабочий каталог не находится в доверенном репозитории
Для ОСОН Основа:
Обновление программного обеспечения git до версии 1:2.36.1-1
Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD
Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD
Для Astra Linux Special Edition 1.6 «Смоленск»::
обновить пакет git до 1:2.11.0-3+deb9u10+ci202408021513+astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16
| Балл | 6.9 — средняя опасность |