ГлавнаяБаза уязвимостей БДУ → BDU:2023-03859
7.8высокая

BDU:2023-03859 (CVE-2023-25652)

Уязвимость распределенной системы управления версиями Git, связанная с недостатками ограничения имени пути к каталогу, позволяющая нарушителю оказать воздействие на целостность данных
Опубликовано: 2023-07-20
Описание

Уязвимость распределенной системы управления версиями Git связана с недостатками ограничения имени пути к каталогу. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, оказать воздействие на целостность данных с помощью специально созданной команды

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Debian GNU/Linux (10)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)ROSA Virtualization (2.1)Git (до 2.30.9)Git (от 2.31.0 до 2.31.8)Git (от 2.32.0 до 2.32.7)Git (от 2.33.0 до 2.33.8)Git (от 2.34.0 до 2.34.8)Git (от 2.35.0 до 2.35.8)Git (от 2.37.0 до 2.37.7)Git (от 2.38.0 до 2.38.5)Git (от 2.39.0 до 2.39.3)Git (2.40.0)РОСА ХРОМ (12.4)Git (от 2.36.0 до 2.36.6)ОСОН ОСнова Оnyx (до 2.8)
Способ устранения

Для Git:
использование рекомендаций производителя: https://github.com/git/git/security/advisories/GHSA-2hvf-7c8p-28fx

Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2023-25652

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0630SE17MD

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения git до версии 1:2.40.1-1

Для ОС Astra Linux Special Edition для архитектуры ARM 4.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0907SE47

Для Astra Linux 1.6 «Смоленск»:
обновить пакет git до 1:2.11.0-3+deb9u7+ci202311271813+astra3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2292

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2398

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
http://www.openwall.com/lists/oss-security/2023/04/25/2https://github.com/git/git/commit/18e2b1cfc80990719275d7b08e6e50f3e8cbc902https://github.com/git/git/commit/668f2d53613ac8fd373926ebe219f2c29112d93ehttps://github.com/git/git/commit/9db05711c98efc14f414d4c87135a34c13586e0bhttps://github.com/git/git/security/advisories/GHSA-2hvf-7c8p-28fxhttps://nvd.nist.gov/vuln/detail/CVE-2023-25652https://security-tracker.debian.org/tracker/CVE-2023-25652https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0630SE17MD
Проверьте безопасность своего сайта и почты → Полная проверка домена