Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-02723: Уязвимость распределенной системы управления версиями Git, связанная с недостатками разграничения доступа, позволяющая нарушителю повысить свои привилегии или выполнить произвольные команды

Описание уязвимости	Уязвимость распределенной системы управления версиями Git связана с возможностью создать папку "C:\.git". Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, запускать произвольные команды
Вендор	Сообщество свободного программного обеспечения, Canonical Ltd., Microsoft Corp., Fedora Project, ООО «Ред Софт», Linus Torvalds, Junio Hamano, Apple Inc., АО "НППКТ"
Наименование ПО	Debian GNU/Linux, Ubuntu, Microsoft Visual Studio, Fedora, РЕД ОС (запись в едином реестре российских программ №3751), Git, Xcode, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	9 (Debian GNU/Linux) 18.04 LTS (Ubuntu) 10 (Debian GNU/Linux) 20.04 LTS (Ubuntu) 2017 15.9 (от 15.0 до 15.8 включительно) (Microsoft Visual Studio) 2019 16.7 (от 16.0 до 16.6 включительно) (Microsoft Visual Studio) 2019 16.9 (от 16.0 до 16.8 включительно) (Microsoft Visual Studio) 34 (Fedora) 11 (Debian GNU/Linux) 35 (Fedora) 21.10 (Ubuntu) 7.3 (РЕД ОС) 2022 17.0 (Microsoft Visual Studio) 2019 16.11 (от 16.0 до 16.10 включительно) (Microsoft Visual Studio) 36 (Fedora) до 2.35.2 (Git) 2022 17.1 (Microsoft Visual Studio) до 13.4 (Xcode) до 2.5 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Debian GNU/Linux 9 Canonical Ltd. Ubuntu 18.04 LTS Сообщество свободного программного обеспечения Debian GNU/Linux 10 Canonical Ltd. Ubuntu 20.04 LTS Fedora Project Fedora 34 Сообщество свободного программного обеспечения Debian GNU/Linux 11 Fedora Project Fedora 35 Canonical Ltd. Ubuntu 21.10 ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) Fedora Project Fedora 36
Тип ошибки	Неправильный контроль доступа, Неконтролируемый элемент пути поиска
Идентификатор типа ошибки	CWE-284 CWE-427
Класс уязвимости	Уязвимость кода
Дата выявления	12.04.2022
Базовый вектор уязвимости	CVSS 2.0: AV:L/AC:M/Au:N/C:C/I:C/A:C CVSS 3.0: AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:N
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,9) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Git: https://git-scm.com/downloads Для продуктов Red Hat Inc.: https://access.redhat.com/hydra/rest/securitydata/cve/CVE-2022-24765.xml Для Ubuntu: https://ubuntu.com/security/CVE-2022-24765 Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2022-24765 Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/5PTN5NYEHYN2OQSHSAMCNICZNK2U4QH6/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BENQYTDGUL6TF3UALY6GSIEXIHUIYNWM/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SLP42KIZ6HACTVZMZLJLFJQ4W2XYT27M/ Для продуктов Microsoft Corp.: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-24765 Для Apple Xcode: https://support.apple.com/kb/HT213261 Организационные меры: Пользователи, которые не имеют возможности выполнить обновление, могут: 1. Создать папку `.git` на всех дисках, где выполняются команды Git, и удалить доступ для чтения/записи к этим папкам 2. Определить GIT_CEILING_DIRECTORIES переменную среды , чтобы она содержала родительский каталог вашего профиля пользователя (т . е. /Users в macOS, /homeLinux и C:\UsersWindows) 3. Избегайть запуска Git на многопользовательских компьютерах, если ваш текущий рабочий каталог не находится в доверенном репозитории Для ОСОН Основа: Обновление программного обеспечения git до версии 1:2.36.1-1
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует в открытом доступе
Способ эксплуатации	Манипулирование ресурсами Нарушение авторизации
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://github.com/git-for-windows/git/security/advisories/GHSA-vw2c-22j4-2fh2 https://packetstormsecurity.com/files/cve/CVE-2022-24765 https://redos.red-soft.ru/support/secure/ http://seclists.org/fulldisclosure/2022/May/31 http://www.openwall.com/lists/oss-security/2022/04/12/7 https://git-scm.com/book/en/v2/Appendix-A%3A-Git-in-Other-Environments-Git-in-Bash https://git-scm.com/docs/git#Documentation/git.txt-codeGITCEILINGDIRECTORIEScode https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/5PTN5NYEHYN2OQSHSAMCNICZNK2U4QH6/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BENQYTDGUL6TF3UALY6GSIEXIHUIYNWM/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SLP42KIZ6HACTVZMZLJLFJQ4W2XYT27M/ https://support.apple.com/kb/HT213261 https://nvd.nist.gov/vuln/detail/CVE-2022-24765 https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-24765 https://github.blog/2022-04-12-git-security-vulnerability-announced/ https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-24765
Прочая информация	Данные уточняются

Последние изменения