ГлавнаяБаза уязвимостей БДУ → BDU:2023-00609
10критическая

BDU:2023-00609 (CVE-2022-41903)

Уязвимость функции pretty.c::format_and_pad_commit() механизма форматирования коммитов распределенной системы контроля версий Git, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2023-02-08
Описание

Уязвимость функции pretty.c::format_and_pad_commit() механизма форматирования коммитов распределенной системы контроля версий Git связана с переполнением буфера в динамической памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Затрагиваемое ПО и версии
Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Debian GNU/Linux (10)Ubuntu (20.04 LTS)Debian GNU/Linux (11)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Ubuntu (22.04 LTS)Astra Linux Special Edition (4.7)Ubuntu (22.10)Git (до 2.30.7)Git (от 2.31.0 до 2.31.5 включительно)Git (от 2.32.0 до 2.32.4 включительно)Git (от 2.33.0 до 2.33.5 включительно)Git (от 2.34.0 до 2.34.5 включительно)Git (от 2.35.0 до 2.35.5 включительно)Git (от 2.36.0 до 2.36.3 включительно)Git (от 2.37.0 до 2.37.4 включительно)Git (от 2.38.0 до 2.38.2 включительно)Git (2.39.0)ОСОН ОСнова Оnyx (до 2.7)РОСА Кобальт (7.9)РОСА ХРОМ (12.4)
Способ устранения

Использование рекомендаций:
Для Git:
https://github.com/git/git/security/advisories/GHSA-475x-2q3q-hvwq

Компенсирующие меры:
отключение «git-архив» путем запустка `git config --global daemon.uploadArch false`.

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-41903

Для ОС РОСА "КОБАЛЬТ": https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2130

Для Ubuntu:
https://ubuntu.com/security/CVE-2022-41903
https://ubuntu.com/security/notices/USN-5810-1

Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения git до версии 1:2.39.1-0.1

Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD

Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Astra Linux Special Edition 1.6 «Смоленск»::
обновить пакет git до 1:2.11.0-3+deb9u10+ci202408021513+astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2398

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://git-scm.com/book/en/v2/Customizing-Git-Git-Attributes#_export_substhttps://git-scm.com/docs/pretty-formats#Documentation/pretty-formats.txt-emltltNgttruncltruncmtruncemhttps://github.com/git/git/commit/508386c6c5857b4faa2c3e491f422c98cc69ae76https://github.com/git/git/security/advisories/GHSA-475x-2q3q-hvwqhttps://github.blog/2023-01-17-git-security-vulnerabilities-announced-2/https://github.com/git-for-windows/git/releases/tag/v2.39.1.windows.1https://github.com/git-for-windows/git/releases/tag/v2.35.6.windows.1https://security-tracker.debian.org/tracker/CVE-2022-41903
Проверьте безопасность своего сайта и почты → Полная проверка домена