Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2023-00499

CVSS: 9.8

17.01.2023

Уязвимость механизма определения атрибутов для путей gitattributes распределенной системы контроля версий Git, позволяющая нарушителю выполнить произвольный код

Уязвимость механизма определения атрибутов для путей gitattributes распределенной системы контроля версий Git связана с целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью специально созданного файла .gitattributes

Статус уязвимости:	Подтверждена производителем Уязвимость устранена
Дата выявления:	17.01.2023
Класс уязвимости:	Уязвимость кода
Наличие эксплойта:	Данные уточняются
Способ эксплуатации:	Данные уточняются
Способ устранения:	Нет данных
Меры по устранению:	Использование рекомендаций: Для Git: https://github.com/git/git/commit/508386c6c5857b4faa2c3e491f422c98cc69ae76 Организационные меры: - избегать прямого вызова --format механизма с известными операторами и избегать запуска git archive в ненадежных репозиториях. Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2022-23521 Для Ubuntu: https://ubuntu.com/security/CVE-2022-23521 https://ubuntu.com/security/notices/USN-5810-1 Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2022-23521.html Для ОС РОСА "КОБАЛЬТ": https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2130 Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2022-23521 Для ОСОН ОСнова Оnyx (версия 2.7): Обновление программного обеспечения git до версии 1:2.39.1-0.1 Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для Astra Linux Special Edition 1.6 «Смоленск»:: обновить пакет git до 1:2.11.0-3+deb9u10+ci202408021513+astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16 Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2398

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-190	Целочисленное переполнение или циклический возврат
CWE-20	Некорректная проверка входных данных

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2022-23521	gitattributes parsing integer overflow in git

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
10	CRITICAL	2.0	AV:N/AC:L/Au:N/C:C/I:C/A:C
9.8	HIGH	3.0	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Идентификаторы других систем описаний уязвимостей

CVE-2022-23521

Вендор:	Red Hat Inc. Canonical Ltd. ООО «РусБИТех-Астра» Сообщество свободного программного обеспечения ООО «Ред Софт» Novell Inc. Linus Torvalds, Junio Hamano АО "НППКТ" АО «НТЦ ИТ РОСА»
Тип ПО:	Операционная система Прикладное ПО информационных систем
Наименование ПО:	Red Hat Enterprise Linux Ubuntu Astra Linux Special Edition Debian GNU/Linux Red Hat Software Collections РЕД ОС OpenSUSE Leap Git ОСОН ОСнова Оnyx РОСА Кобальт РОСА ХРОМ
Версия ПО:	6 (Red Hat Enterprise Linux) 7 (Red Hat Enterprise Linux) 18.04 LTS (Ubuntu) 1.6 «Смоленск» (Astra Linux Special Edition) 8 (Red Hat Enterprise Linux) 10 (Debian GNU/Linux) - (Red Hat Software Collections) 20.04 LTS (Ubuntu) 11 (Debian GNU/Linux) 7.3 (РЕД ОС) 1.7 (Astra Linux Special Edition) 15.4 (OpenSUSE Leap) 22.04 LTS (Ubuntu) 9 (Red Hat Enterprise Linux) 4.7 (Astra Linux Special Edition) 22.10 (Ubuntu) до 2.30.6 включительно (Git) от 2.31.0 до 2.31.5 включительно (Git) от 2.32.0 до 2.32.4 включительно (Git) от 2.33.0 до 2.33.5 включительно (Git) от 2.34.0 до 2.34.5 включительно (Git) от 2.35.0 до 2.35.5 включительно (Git) от 2.36.0 до 2.36.3 включительно (Git) от 2.37.0 до 2.37.4 включительно (Git) от 2.38.0 до 2.38.2 включительно (Git) 2.39.0 (Git) до 2.7 (ОСОН ОСнова Оnyx) 7.9 (РОСА Кобальт) 12.4 (РОСА ХРОМ)
ОС и аппаратные платформы:	Red Hat Enterprise Linux (6) Red Hat Enterprise Linux (7) Ubuntu (18.04 LTS) Astra Linux Special Edition (1.6 «Смоленск») Windows (-) Red Hat Enterprise Linux (8) Debian GNU/Linux (10) Ubuntu (20.04 LTS) Debian GNU/Linux (11) Astra Linux Special Edition (1.7) OpenSUSE Leap (15.4) Ubuntu (22.04 LTS) Red Hat Enterprise Linux (9) Astra Linux Special Edition (4.7) Ubuntu (22.10) ОСОН ОСнова Оnyx (до 2.7) РОСА Кобальт (7.9) РОСА ХРОМ (12.4)
Ссылки на источники:	https://github.com/git/git/commit/508386c6c5857b4faa2c3e491f422c98cc69ae76 https://github.com/git-for-windows/git/releases/tag/v2.39.1.windows.1 https://github.blog/2023-01-17-git-security-vulnerabilities-announced-2/ https://github.com/git-for-windows/git/releases/tag/v2.35.6.windows.1 https://security-tracker.debian.org/tracker/CVE-2022-23521 https://ubuntu.com/security/CVE-2022-23521 https://ubuntu.com/security/notices/USN-5810-1 https://www.suse.com/security/cve/CVE-2022-23521.html https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2130 https://access.redhat.com/security/cve/CVE-2022-23521 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.7/ https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16 https://abf.rosa.ru/advisories/ROSA-SA-2024-2398

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2023-00499