ГлавнаяБаза уязвимостей БДУ → BDU:2024-04042
7.2высокая

BDU:2024-04042 (CVE-2024-32465)

Уязвимость распределенной системы контроля версий Git, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю обойти защиту при клонировании ненадежных репозиториев
Опубликовано: 2024-05-24
Описание

Уязвимость распределенной системы контроля версий Git связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю обойти защиту при клонировании ненадежных репозиториев

Затрагиваемое ПО и версии
Suse Linux Enterprise Desktop (12 SP3)Suse Linux Enterprise Desktop (12 SP4)SUSE Linux Enterprise Server for SAP Applications (12 SP2)SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)OpenSUSE Leap (15.5)Suse Linux Enterprise Server (12 SP3)Suse Linux Enterprise Server (12 SP4)Suse Linux Enterprise Server (12 SP2-BCL)Suse Linux Enterprise Server (12 SP2-ESPOS)Suse Linux Enterprise Server (12-LTSS)SUSE Linux Enterprise Server for SAP Applications (12 SP1)SUSE Linux Enterprise Server for SAP Applications (15)SUSE Linux Enterprise Server for SAP Applications (15 SP1)Suse Linux Enterprise Server (12 SP1-LTSS)Suse Linux Enterprise Server (12 SP2-LTSS)Suse Linux Enterprise Server (12 SP3-LTSS)Suse Linux Enterprise Server (12 SP3-BCL)SUSE Linux Enterprise Server for SAP Applications (12 SP5)Debian GNU/Linux (10)Suse Linux Enterprise Server (12 SP3-ESPOS)Suse Linux Enterprise Desktop (12 SP2)Suse Linux Enterprise Server (12 SP2)Suse Linux Enterprise Server (15-LTSS)Suse Linux Enterprise Desktop (12 SP1)Suse Linux Enterprise Server (12 SP1)SUSE Linux Enterprise Server for SAP Applications (12)openSUSE TumbleweedSuse Linux Enterprise Desktop (12)Suse Linux Enterprise Server (12 SP4-ESPOS)
Способ устранения

Использование рекомендаций:

Для Git:
https://github.com/git/git/security/advisories/GHSA-vm9j-46j9-qvq4
https://github.com/git/git/commit/7b70e9efb18c2cc3f219af399bd384c5801ba1d7

Для программных продуктов Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-32465

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-32465.html

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОСОН ОСнова Оnyx (2.11):
Обновление программного обеспечения git до версии 1:2.45.2-1

Для ОС Astra Linux:
обновить пакет git до 1:2.30.2-1+deb11u2+ci202407011525+astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет git до 1:2.30.2-1+deb11u2+ci202407011525+astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Для ОС Astra Linux:
обновить пакет git до 1:2.43.0-1ubuntu7.2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

Для ОСОН ОСнова Оnyx: Обновление программного обеспечения git до версии 1:2.50.1-0.1

Оценка CVSS
Балл7.2 — высокая опасность
Источники и патчи
https://git-scm.com/docs/git#_securityhttps://git-scm.com/docs/git-clonehttps://github.com/git/git/security/advisories/GHSA-vm9j-46j9-qvq4https://github.com/git/git/commit/7b70e9efb18c2cc3f219af399bd384c5801ba1d7https://github.blog/2024-05-14-securing-git-addressing-5-new-vulnerabilities/#protections-for-cloning-untrusted-repositories-can-be-bypassed-cve-2024-32465-highhttps://security-tracker.debian.org/tracker/CVE-2024-32465https://vuldb.com/ru/?id.264370https://www.suse.com/security/cve/CVE-2024-32465.html
Проверьте безопасность своего сайта и почты → Полная проверка домена