Vulnerabilidade no Git é anunciada

Comente!

O projeto Git lançou novas versões que se tratam de um par de vulnerabilidades de segurança.

Essas vulnerabilidades não afetam o GitHub. Entretanto, o usuário deve estar ciente deles e atualizar sua instalação local do Git, especialmente se estiver utilizando o Git para Windows ou utilizar o Git em uma máquina multiusuário.

CVE-2022-24765

Os usuários que trabalham em máquinas multiusuário  são afetados por essa vulnerabilidade, pode acontecer de um agente mal-intencionado pode criar um .gitdiretório em um local compartilhado acima do diretório de trabalho atual da vítima. Por exemplo, no Windows, um invasor poderia criar C:\.git\config, o que faria com que todas as gitinvocações que ocorrem fora de um repositório lessem seus valores configurados.

Como algumas variáveis ​​de configuração (como core.fsmonitor) fazem com que o Git execute comandos arbitrários, isso pode levar à execução de comandos arbitrários ao trabalhar em uma máquina compartilhada.

A forma mais eficaz de se proteger contra essa vulnerabilidade é atualizar para o Git v2.35.2 . A versão altera o comportamento do Git ao procurar um .gitdiretório de nível superior para parar quando seu percurso de diretório mudar a propriedade do usuário atual. Se o usuário deseja realizar uma exceção a esse comportamento, você pode usar a nova safe.directoryconfiguração multivalorada.

Caso não possa atualizar imediatamente, as formas mais eficazes de reduzir o risco são as seguintes:

  • Defina a GIT_CEILING_DIRECTORIESvariável de ambiente para conter o diretório pai do seu perfil de usuário (ou seja, /Usersno macOS,

    /homeno Linux e C:\Usersno Windows).

  • Evite executar o Git em máquinas multiusuário quando seu diretório de trabalho atual não estiver em um repositório confiável.

Observe que muitas ferramentas como a instalação do Git para Windows do Git Bash, posh-git e Visual Studio executam comandos do Git nos bastidores. Se estiver em uma máquina multiusuário, evite usar essas ferramentas até atualizar para a versão mais recente.

CVE-2022-24767

A vulnerabilidade afeta o desinstalador do Git para Windows, executado no diretório temporário do usuário. Como a SYSTEMconta de usuário herda as
permissões padrão de C:\Windows\Temp(que é gravável mundialmente), qualquer usuário autenticado pode colocar .dllarquivos maliciosos que são carregados ao
executar o desinstalador do Git para Windows quando executado por meio da SYSTEMconta.

A forma mais eficaz de se proteger contra essa vulnerabilidade é atualizar para o Git para Windows v2.35.2 . Se não puder atualizar imediatamente, reduza o risco com o seguinte:

  • Evite executar o desinstalador até depois da atualização
  • Substitui a variável SYSTEMde ambiente do usuário TMPpara um diretório que só pode ser gravado pelo SYSTEMusuário
  • Remova .dllarquivos desconhecidos C:\Windows\Tempantes de executar o

    desinstalador

  • Execute o desinstalador em uma conta de administrador em vez de como

    SYSTEMusuário

 

Artigos relacionados