ГлавнаяБаза уязвимостей БДУ → BDU:2023-01603
7.8высокая

BDU:2023-01603 (CVE-2023-23946)

Уязвимость распределенной системы управления версиями Git, связанная с неправильным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю перезаписать произвольные файлы в системе
Опубликовано: 2023-03-28
Описание

Уязвимость распределенной системы управления версиями Git связана с вводом обработанных входных данных - путь за пределами рабочего дерева может быть перезаписан пользователем, запустившим "git apply". Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, перезаписать произвольные файлы в системе

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Debian GNU/Linux (11)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Red Hat Enterprise Linux (9)Git (до 2.30.8)Git (от 2.31.0 до 2.31.7)Git (от 2.32.0 до 2.32.6)Git (от 2.33.0 до 2.33.7)Git (от 2.34.0 до 2.34.7)Git (от 2.35.0 до 2.35.7)Git (от 2.36.0 до 2.36.5)Git (от 2.37.0 до 2.37.6)Git (от 2.38.0 до 2.38.4)Git (от 2.39.0 до 2.39.2)ROSA Virtualization (2.1)РОСА ХРОМ (12.4)ОСОН ОСнова Оnyx (до 2.8)
Способ устранения

Использование рекомендаций:
Для Git:
https://github.com/git/git/commit/c867e4fa180bec4750e9b54eb10f459030dbebfd
https://github.com/git/git/security/advisories/GHSA-r87m-v37r-cwfh

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-23946

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-23946

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения git до версии 1:2.40.1-1

Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2292

Для ОС Astra Linux Special Edition 1.7:
обновить пакет git до 1:2.30.2-1+deb11u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD

Для Astra Linux Special Edition 1.6 «Смоленск»::
обновить пакет git до 1:2.11.0-3+deb9u10+ci202408021513+astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2398

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://redos.red-soft.ru/support/secure/https://github.com/git/git/commit/c867e4fa180bec4750e9b54eb10f459030dbebfdhttps://github.com/git/git/security/advisories/GHSA-r87m-v37r-cwfhhttps://security-tracker.debian.org/tracker/CVE-2023-23946https://access.redhat.com/security/cve/CVE-2023-23946http://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.8/https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2292
Проверьте безопасность своего сайта и почты → Полная проверка домена