ГлавнаяБаза уязвимостей БДУ → BDU:2022-02723
6.9средняя

BDU:2022-02723 (CVE-2022-24765)

Уязвимость распределенной системы управления версиями Git, связанная с недостатками разграничения доступа, позволяющая нарушителю повысить свои привилегии или выполнить произвольные команды
Опубликовано: 2022-04-28
Описание

Уязвимость распределенной системы управления версиями Git связана с возможностью создать папку "C:\.git". Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, запускать произвольные команды

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Debian GNU/Linux (10)Ubuntu (20.04 LTS)Microsoft Visual Studio 2019 (от 16.0 до 16.6 включительно)Microsoft Visual Studio 2019 (от 16.0 до 16.8 включительно)Fedora (34)Debian GNU/Linux (11)Fedora (35)Ubuntu (21.10)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Microsoft Visual Studio 2022 (17.0)Fedora (36)Git (до 2.35.2)Microsoft Visual Studio 2022 (17.1)Xcode (до 13.4)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.5)Microsoft Visual Studio 2017 (от 15.0 до 15.8 включительно)Microsoft Visual Studio 2019 (от 16.0 до 16.10 включительно)
Способ устранения

Использование рекомендаций:


Для Git:
https://git-scm.com/downloads

Для продуктов Red Hat Inc.:

https://access.redhat.com/hydra/rest/securitydata/cve/CVE-2022-24765.xml



Для Ubuntu:

https://ubuntu.com/security/CVE-2022-24765



Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2022-24765

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/5PTN5NYEHYN2OQSHSAMCNICZNK2U4QH6/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BENQYTDGUL6TF3UALY6GSIEXIHUIYNWM/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SLP42KIZ6HACTVZMZLJLFJQ4W2XYT27M/

Для продуктов Microsoft Corp.:
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-24765

Для Apple Xcode:
https://support.apple.com/kb/HT213261

Организационные меры:
Пользователи, которые не имеют возможности выполнить обновление, могут:
1. Создать папку `.git` на всех дисках, где выполняются команды Git, и удалить доступ для чтения/записи к этим папкам
2. Определить GIT_CEILING_DIRECTORIES переменную среды , чтобы она содержала родительский каталог вашего профиля пользователя (т . е. /Users в macOS,
/homeLinux и C:\UsersWindows)
3. Избегайть запуска Git на многопользовательских компьютерах, если ваш текущий рабочий каталог не находится в доверенном репозитории

Для ОСОН Основа:
Обновление программного обеспечения git до версии 1:2.36.1-1

Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD

Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD

Для Astra Linux Special Edition 1.6 «Смоленск»::
обновить пакет git до 1:2.11.0-3+deb9u10+ci202408021513+astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16

Оценка CVSS
Балл6.9 — средняя опасность
Источники и патчи
https://github.com/git-for-windows/git/security/advisories/GHSA-vw2c-22j4-2fh2https://packetstormsecurity.com/files/cve/CVE-2022-24765https://redos.red-soft.ru/support/secure/http://seclists.org/fulldisclosure/2022/May/31http://www.openwall.com/lists/oss-security/2022/04/12/7https://git-scm.com/book/en/v2/Appendix-A%3A-Git-in-Other-Environments-Git-in-Bashhttps://git-scm.com/docs/git#Documentation/git.txt-codeGITCEILINGDIRECTORIEScodehttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/5PTN5NYEHYN2OQSHSAMCNICZNK2U4QH6/
Проверьте безопасность своего сайта и почты → Полная проверка домена