В Git устранили две критических уязвимости удаленного исполнения кода
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

В Git устранили две критических уязвимости удаленного исполнения кода

Татьяна Никитина 18 Января 2023 - 18:05
...
В Git устранили две критических уязвимости удаленного исполнения кода

Аудит исходных кодов Git, проведенный экспертами GitLab и германской ИБ-компании X41 D-SEC, выявил две ошибки переполнения буфера в куче, которые можно использовать для выполнения произвольного кода. Чтобы устранить уязвимости, оцененные в 9,8 балла CVSS, участники проекта выпустили обновления с патчами в ветках с 2.30 по 2.39.

Согласно сообщению X41, из найденных проблем наиболее опасна CVE-2022-23521 — порча памяти при выполнении команды clone или pull. Другая критическая уязвимость, CVE-2022-41903, проявляется при выполнении операции архивирования. Исследователи также обнаружили одну уязвимость высокой степени опасности, одну — средней и четыре — низкой опасности.

В бюллетенях, опубликованных на GitHub, поясняется, что в появлении CVE-2022-23521 повинен парсер.gitattributes. При разборе таких файлов возникают множественные ошибки целочисленного переполнения, которые могут повлечь чтение или запись произвольных данных в куче.

Уязвимость CVE-2022-41903, согласно бюллетеню, кроется в механизме форматирования коммитов. Целочисленное переполнение, возникающее при обработке паддинг-операторов — таких как %<(, %>( и т. п., грозит записью произвольных данных в куче.

Уязвимость высокой степени опасности (CVE-2022-41953, 8,6 балла CVSS) актуальна лишь для Windows-версий Git 2.39.0 и ниже. Она вызвана некорректной реализацией GUI-скрипта и проявляется как ненадежный путь к исполняемому файлу при клонировании репозиториев. В итоге открылась возможность удаленно выполнить код из недоверенного источника.

Обновления с патчами доступны с 17 января, пользователям настоятельно рекомендуется совершить апгрейд, установив новейшую сборку — 2.39.1. Тем, у кого пока нет такой возможности, советуют принять меры против эксплойта:

  • воздержаться от использования команды git archive в недоверенных репозиториях, а также команд git log –format с известными операторами;
  • при работе с недоверенными репозиториями отключить возможность выполнения команд git archive с помощью Git-демона (командой git config --global daemon.uploadArch false);
  • не использовать Git GUI на Windows при клонировании недоверенных репозиториев.
Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Финансам и ретейлу от имени ФСБ РФ раздают бэкдор под видом КриптоПро CSP
Татьяна Никитина 14 Ноября 2025 - 14:08
Windows БэкдорыЦелевые атакиТаргетированные атаки Корпорации F6
Финансам и ретейлу от имени ФСБ РФ раздают бэкдор под видом КриптоПро CSP

В F6 фиксируют вредоносные рассылки на адреса российских ретейлеров, микрофинансовых учреждений, коллекторских агентств, страховых компаний. При открытии аттача предлагается загрузить СКЗИ КриптоПро, а на самом деле — Windows-бэкдор.

Поддельные имейл-сообщения написаны от имени ФСБ России. Получателя просят ознакомиться с рекомендациями на случай теракта либо в течение суток представить отчет о тренинге по противодействию информационным атакам.

Инициатором адресных рассылок, по данным экспертов, является кибергруппа, которую они называют CapFIX. Адреса отправителя фейковые — некое российское турагентство либо ИТ-компания.

 

Для открытия и корректного отображения вложенного PDF предлагается скачать КриптоПро CSP. Ссылка под вставленной кнопкой привязана к сайту, зарегистрированному полтора месяца назад (sed documents[.]com).

Отдаваемый RAR-архив, якобы с инсталлятором СКЗИ КриптоПро, устанавливает в систему x64-версию CapDoor.

 

Этот Windows-бэкдор специалисты F6 не так давно обнаружили при разборе одной из атак ClickFix. Вредонос умеет выполнять следующие команды:

  • запуск PowerShell для получения доступа к cmd.exe;
  • загрузка и запуск указанных оператором файлов EXE;
  • загрузка и запуск файлов DLL;
  • загрузка и запуск DLL COM‑объектов.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Белый список сервисов при отключении мобильного интернета расширят
Новость
Белый список сервисов при отключении мобильного интернета ра...
Solar Dozor 8.2 получила шифрование трафика и расширенный контроль Linux
Новость
Solar Dozor 8.2 получила шифрование трафика и расширенный ко...
Neon из топа App Store раскрыл записи звонков пользователей
Новость
Neon из топа App Store раскрыл записи звонков пользователей

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.