CVE-2023-25652

"git apply --reject" partially-controlled arbitrary file write

CVSS 7.5 HIGHEPSS 52.2%CWE-22

Em resumo

O comando `git apply --reject` do Git pode ser enganado para escrever arquivos fora da pasta do projeto, potencialmente sobrescrevendo arquivos importantes do sistema. Isso acontece ao processar patches maliciosos, permitindo que atacantes danifiquem ou comprometam sistemas.

Detalhe técnico

Uma vulnerabilidade de traversal de caminho (CWE-22) no Git em versões anteriores a 2.30.9 até 2.40.1 permite que um atacante sobrescreva arquivos arbitrários fora do diretório de trabalho do repositório através de patches especialmente elaborados fornecidos ao `git apply --reject`. A vulnerabilidade é acionada durante a geração de arquivo de rejeição; a exploração requer que a vítima aplique um patch não confiável usando a flag `--reject`.

Resumo gerado e traduzido por IA a partir da descrição oficial.

Git is a revision control system. Prior to versions 2.30.9, 2.31.8, 2.32.7, 2.33.8, 2.34.8, 2.35.8, 2.36.6, 2.37.7, 2.38.5, 2.39.3, and 2.40.1, by feeding specially crafted input to `git apply --reject`, a path outside the working tree can be overwritten with partially controlled contents (corresponding to the rejected hunk(s) from the given patch). A fix is available in versions 2.30.9, 2.31.8, 2.32.7, 2.33.8, 2.34.8, 2.35.8, 2.36.6, 2.37.7, 2.38.5, 2.39.3, and 2.40.1. As a workaround, avoid using `git apply` with `--reject` when applying patches from an untrusted source. Use `git apply --stat` to inspect a patch before applying; avoid applying one that create a conflict where a link corresponding to the `*.rej` file exists.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

Produtos afetados

git · git

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://github.com/git/git/commit/18e2b1cfc80990719275d7b08e6e50f3e8cbc902 https://github.com/git/git/commit/668f2d53613ac8fd373926ebe219f2c29112d93e https://github.com/git/git/security/advisories/GHSA-2hvf-7c8p-28fx https://lists.debian.org/debian-lts-announce/2024/06/msg00018.html https://lists.debian.org/debian-lts-announce/2024/09/msg00009.html https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BSXOGVVBJLYX26IAYX6PJSYQB36BREWH/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PI7FZ4NNR5S5J5K6AMVQBH2JFP6NE4L7/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/RKOXOAZ42HLXHXTW6JZI4L5DAIYDTYCU/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YFZWGQKB6MM5MNF2DLFTD7KS2KWPICKL/https://security.gentoo.org/glsa/202312-15 http://www.openwall.com/lists/oss-security/2023/04/25/2