ГлавнаяБаза уязвимостей БДУ → BDU:2023-00499
10критическая

BDU:2023-00499 (CVE-2022-23521)

Уязвимость механизма определения атрибутов для путей gitattributes распределенной системы контроля версий Git, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2023-01-31
Описание

Уязвимость механизма определения атрибутов для путей gitattributes распределенной системы контроля версий Git связана с целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью специально созданного файла .gitattributes

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (6)Red Hat Enterprise Linux (7)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Red Hat Software CollectionsUbuntu (20.04 LTS)Debian GNU/Linux (11)РЕД ОС (7.3)Astra Linux Special Edition (1.7)OpenSUSE Leap (15.4)Ubuntu (22.04 LTS)Red Hat Enterprise Linux (9)Astra Linux Special Edition (4.7)Ubuntu (22.10)Git (до 2.30.6 включительно)Git (от 2.31.0 до 2.31.5 включительно)Git (от 2.32.0 до 2.32.4 включительно)Git (от 2.33.0 до 2.33.5 включительно)Git (от 2.34.0 до 2.34.5 включительно)Git (от 2.35.0 до 2.35.5 включительно)Git (от 2.36.0 до 2.36.3 включительно)Git (от 2.37.0 до 2.37.4 включительно)Git (от 2.38.0 до 2.38.2 включительно)Git (2.39.0)ОСОН ОСнова Оnyx (до 2.7)РОСА Кобальт (7.9)РОСА ХРОМ (12.4)
Способ устранения

Использование рекомендаций:
Для Git:
https://github.com/git/git/commit/508386c6c5857b4faa2c3e491f422c98cc69ae76

Организационные меры:
- избегать прямого вызова --format механизма с известными операторами и избегать запуска git archive в ненадежных репозиториях.

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-23521

Для Ubuntu:
https://ubuntu.com/security/CVE-2022-23521
https://ubuntu.com/security/notices/USN-5810-1

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-23521.html

Для ОС РОСА "КОБАЛЬТ": https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2130

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-23521

Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения git до версии 1:2.39.1-0.1

Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD

Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Astra Linux Special Edition 1.6 «Смоленск»::
обновить пакет git до 1:2.11.0-3+deb9u10+ci202408021513+astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2398

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/git/git/commit/508386c6c5857b4faa2c3e491f422c98cc69ae76https://github.com/git-for-windows/git/releases/tag/v2.39.1.windows.1https://github.blog/2023-01-17-git-security-vulnerabilities-announced-2/https://github.com/git-for-windows/git/releases/tag/v2.35.6.windows.1https://security-tracker.debian.org/tracker/CVE-2022-23521https://ubuntu.com/security/CVE-2022-23521https://ubuntu.com/security/notices/USN-5810-1https://www.suse.com/security/cve/CVE-2022-23521.html
Проверьте безопасность своего сайта и почты → Полная проверка домена