ГлавнаяБаза уязвимостей БДУ → BDU:2024-03872
7.6критическая

BDU:2024-03872

Уязвимость распределенной системы контроля версий Git, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2024-05-20
Описание

Уязвимость распределенной системы контроля версий Git связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Astra Linux Common Edition (1.6 «Смоленск»)Git (от 2.39.0 до 2.39.4)Git (от 2.40.0 до 2.40.2)Git (от 2.41.0 до 2.41.1)Git (от 2.42.0 до 2.42.2)Git (от 2.43.0 до 2.43.4)Git (от 2.44.0 до 2.44.1)Git (от 2.45.0 до 2.45.1)ОСОН ОСнова Оnyx (до 2.11)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- отключение функционала поддержки символических ссылок (например, git config --global core.symlinks false);
- ограничение возможности клонирования репозиториев из недоверенных источников;
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа;
- использование антивирусного программного обеспечения для отслеживания попыток эксплуатации уязвимости.

Иcпользование рекомендаций производителя:
https://git-scm.com/docs/git-config#Documentation/git-config.txt-coresymlinks
https://git-scm.com/docs/git-clone#Documentation/git-clone.txt---recurse-submodulesltpathspecgt
https://github.com/git/git/commit/97065761333fd62db1912d81b489db938d8c991d
https://github.com/git/git/security/advisories/GHSA-8h77-4q3w-gfgv

Для ОСОН ОСнова Оnyx (2.11):
Обновление программного обеспечения git до версии 1:2.45.2-1

Для ОС Astra Linux:
обновить пакет git до 1:2.30.2-1+deb11u2+ci202407011525+astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет git до 1:2.30.2-1+deb11u2+ci202407011525+astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Для ОС Astra Linux:
обновить пакет git до 1:2.11.0-3+deb9u13+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Оценка CVSS
Балл7.6 — критическая опасность
Источники и патчи
https://git-scm.com/docs/git-config#Documentation/git-config.txt-coresymlinkshttps://git-scm.com/docs/git-clone#Documentation/git-clone.txt---recurse-submodulesltpathspecgthttps://github.com/git/git/commit/97065761333fd62db1912d81b489db938d8c991dhttps://github.com/git/git/security/advisories/GHSA-8h77-4q3w-gfgvhttps://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.11/https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16
Проверьте безопасность своего сайта и почты → Полная проверка домена