ГлавнаяБаза уязвимостей БДУ → BDU:2023-02908
7.2высокая

BDU:2023-02908 (CVE-2023-29007)

Уязвимость функции git_config_copy_or_rename_section_in_file файла config.c распределенной системы управления версиями Git, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2023-05-30
Описание

Уязвимость функции git_config_copy_or_rename_section_in_file файла config.c распределенной системы управления версиями Git связана с недостаточной нейтрализацией специальных элементов в запросе. Эксплуатация уязвимости может позволить нарушителю, выполнить произвольный код

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Debian GNU/Linux (11)Red Hat Enterprise Linux (8.1 Update Services for SAP Solutions)Red Hat Enterprise Linux (8.4 Extended Update Support)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Fedora (36)Red Hat Enterprise Linux (9)Fedora (37)Astra Linux Special Edition (4.7)Red Hat Enterprise Linux (8.6 Extended Update Support)Red Hat Enterprise Linux (9.0 Extended Update Support)РОСА Кобальт (7.9)Fedora (38)Git (от 2.36.0 до 2.36.5)ROSA Virtualization (2.1)Git (до 2.30.9)Git (от 2.31.0 до 2.31.8)Git (от 2.32.0 до 2.32.7)Git (от 2.33.0 до 2.33.8)Git (от 2.34.0 до 2.34.8)Git (от 2.35.0 до 2.35.8)Git (от 2.37.0 до 2.37.7)Git (от 2.38.0 до 2.38.5)Git (от 2.39.0 до 2.39.3)Git (2.40.0)РОСА ХРОМ (12.4)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- ограничение запуска git submodule deinit, или git config --rename-section в git config --remove-section недоверенных репозиториев.

Использование рекомендаций производителя:
Для Gi:
https://github.com/git/git/blob/9ce9dea4e1c2419cca126d29fa7730baa078a11b/Documentation/RelNotes/2.30.9.txt
https://github.com/git/git/commit/528290f8c61222433a8cf02fb7cfffa8438432b4
https://github.com/git/git/security/advisories/GHSA-v48j-4xgg-4844

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-29007

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-29007

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PI7FZ4NNR5S5J5K6AMVQBH2JFP6NE4L7/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/RKOXOAZ42HLXHXTW6JZI4L5DAIYDTYCU/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YFZWGQKB6MM5MNF2DLFTD7KS2KWPICKL/

Для ОС РОСА "КОБАЛЬТ":
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2176

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0630SE17MD

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения git до версии 1:2.40.1-1

Для ОС Astra Linux Special Edition для архитектуры ARM 4.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0907SE47

Для Astra Linux 1.6 «Смоленск»:
обновить пакет git до 1:2.11.0-3+deb9u7+ci202311271813+astra3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2292

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2398

Оценка CVSS
Балл7.2 — высокая опасность
Источники и патчи
https://github.com/git/git/blob/9ce9dea4e1c2419cca126d29fa7730baa078a11b/Documentation/RelNotes/2.30.9.txthttps://github.com/git/git/commit/528290f8c61222433a8cf02fb7cfffa8438432b4https://github.com/git/git/security/advisories/GHSA-v48j-4xgg-4844https://security-tracker.debian.org/tracker/CVE-2023-29007https://access.redhat.com/security/cve/CVE-2023-29007https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PI7FZ4NNR5S5J5K6AMVQBH2JFP6NE4L7/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/RKOXOAZ42HLXHXTW6JZI4L5DAIYDTYCU/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YFZWGQKB6MM5MNF2DLFTD7KS2KWPICKL/
Проверьте безопасность своего сайта и почты → Полная проверка домена