ГлавнаяБаза уязвимостей БДУ → BDU:2023-01602
4.9средняя

BDU:2023-01602 (CVE-2023-22490)

Уязвимость распределенной системы управления версиями Git, связанная с передачей частных ресурсов в новую сферу, позволяющая нарушителю получить доступ к конфиденциальной информации
Опубликовано: 2023-03-28
Описание

Уязвимость распределенной системы управления версиями Git связана с небезопасной обработкой символических ссылок при использовании оптимизации локального клонирования, Git прерывает локальные клоны, исходный каталог которых $GIT_DIR/objects содержит символические ссылки, однако сам каталог объектов может по-прежнему быть символической ссылкой. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальной информации

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Debian GNU/Linux (11)Astra Linux Special Edition (1.7)Red Hat Enterprise Linux (9)РЕД ОС (7.4)Git (до 2.30.8)Git (от 2.31.0 до 2.31.7)Git (от 2.32.0 до 2.32.6)Git (от 2.33.0 до 2.33.7)Git (от 2.34.0 до 2.34.7)Git (от 2.35.0 до 2.35.7)Git (от 2.36.0 до 2.36.5)Git (от 2.37.0 до 2.37.6)Git (от 2.38.0 до 2.38.4)Git (от 2.39.0 до 2.39.2)ROSA Virtualization (2.1)РОСА ХРОМ (12.4)ОСОН ОСнова Оnyx (до 2.8)
Способ устранения

Использование рекомендаций:
Для Git:
https://github.com/git/git/commit/58325b93c5b6212697b088371809e9948fee8052
https://github.com/git/git/commit/cf8f6ce02a13f4d1979a53241afbee15a293fce9
https://github.com/git/git/commit/bffc762f87ae8d18c6001bf0044a76004245754c

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-22490

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-22490

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения git до версии 1:2.40.1-1

Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2292

Для ОС Astra Linux Special Edition 1.7:
обновить пакет git до 1:2.30.2-1+deb11u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD

Для Astra Linux Special Edition 1.6 «Смоленск»::
обновить пакет git до 1:2.11.0-3+deb9u10+ci202408021513+astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2398

Оценка CVSS
Балл4.9 — средняя опасность
Источники и патчи
https://redos.red-soft.ru/support/secure/https://github.com/git/git/commit/58325b93c5b6212697b088371809e9948fee8052https://github.com/git/git/commit/cf8f6ce02a13f4d1979a53241afbee15a293fce9https://github.com/git/git/commit/bffc762f87ae8d18c6001bf0044a76004245754chttps://security-tracker.debian.org/tracker/CVE-2023-22490https://access.redhat.com/security/cve/cve-2023-22490https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.8/https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2292
Проверьте безопасность своего сайта и почты → Полная проверка домена