Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

BDU:2023-00499

CVSS: 9.8
17.01.2023

Уязвимость механизма определения атрибутов для путей gitattributes распределенной системы контроля версий Git, позволяющая нарушителю выполнить произвольный код

Уязвимость механизма определения атрибутов для путей gitattributes распределенной системы контроля версий Git связана с целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью специально созданного файла .gitattributes
Статус уязвимости:
Подтверждена производителем
Уязвимость устранена
Дата выявления: 17.01.2023
Класс уязвимости: Уязвимость кода
Наличие эксплойта: Данные уточняются
Способ эксплуатации: Данные уточняются
Способ устранения: Нет данных
Меры по устранению: Использование рекомендаций:
Для Git:
https://github.com/git/git/commit/508386c6c5857b4faa2c3e491f422c98cc69ae76

Организационные меры:
- избегать прямого вызова --format механизма с известными операторами и избегать запуска git archive в ненадежных репозиториях.

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-23521

Для Ubuntu:
https://ubuntu.com/security/CVE-2022-23521
https://ubuntu.com/security/notices/USN-5810-1

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-23521.html

Для ОС РОСА "КОБАЛЬТ": https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2130

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-23521

Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения git до версии 1:2.39.1-0.1

Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD

Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Astra Linux Special Edition 1.6 «Смоленск»::
обновить пакет git до 1:2.11.0-3+deb9u10+ci202408021513+astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2398

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE
Идентификатор Описание
CWE-190 Целочисленное переполнение или циклический возврат
CWE-20 Некорректная проверка входных данных

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
Идентификатор Описание
CVE-2022-23521 gitattributes parsing integer overflow in git

CVSS

Система общей оценки уязвимостей
Оценка Severity Версия Базовый вектор
10 CRITICAL 2.0 AV:N/AC:L/Au:N/C:C/I:C/A:C
9.8 HIGH 3.0 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Идентификаторы других систем описаний уязвимостей

CVE-2022-23521
Вендор:
  • Red Hat Inc.
  • Canonical Ltd.
  • ООО «РусБИТех-Астра»
  • Сообщество свободного программного обеспечения
  • ООО «Ред Софт»
  • Novell Inc.
  • Linus Torvalds, Junio Hamano
  • АО "НППКТ"
  • АО «НТЦ ИТ РОСА»
Тип ПО:
  • Операционная система
  • Прикладное ПО информационных систем
Наименование ПО:
  • Red Hat Enterprise Linux
  • Ubuntu
  • Astra Linux Special Edition
  • Debian GNU/Linux
  • Red Hat Software Collections
  • РЕД ОС
  • OpenSUSE Leap
  • Git
  • ОСОН ОСнова Оnyx
  • РОСА Кобальт
  • РОСА ХРОМ
Версия ПО:
  • 6 (Red Hat Enterprise Linux)
  • 7 (Red Hat Enterprise Linux)
  • 18.04 LTS (Ubuntu)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 8 (Red Hat Enterprise Linux)
  • 10 (Debian GNU/Linux)
  • - (Red Hat Software Collections)
  • 20.04 LTS (Ubuntu)
  • 11 (Debian GNU/Linux)
  • 7.3 (РЕД ОС)
  • 1.7 (Astra Linux Special Edition)
  • 15.4 (OpenSUSE Leap)
  • 22.04 LTS (Ubuntu)
  • 9 (Red Hat Enterprise Linux)
  • 4.7 (Astra Linux Special Edition)
  • 22.10 (Ubuntu)
  • до 2.30.6 включительно (Git)
  • от 2.31.0 до 2.31.5 включительно (Git)
  • от 2.32.0 до 2.32.4 включительно (Git)
  • от 2.33.0 до 2.33.5 включительно (Git)
  • от 2.34.0 до 2.34.5 включительно (Git)
  • от 2.35.0 до 2.35.5 включительно (Git)
  • от 2.36.0 до 2.36.3 включительно (Git)
  • от 2.37.0 до 2.37.4 включительно (Git)
  • от 2.38.0 до 2.38.2 включительно (Git)
  • 2.39.0 (Git)
  • до 2.7 (ОСОН ОСнова Оnyx)
  • 7.9 (РОСА Кобальт)
  • 12.4 (РОСА ХРОМ)
ОС и аппаратные платформы:
  • Red Hat Enterprise Linux (6)
  • Red Hat Enterprise Linux (7)
  • Ubuntu (18.04 LTS)
  • Astra Linux Special Edition (1.6 «Смоленск»)
  • Windows (-)
  • Red Hat Enterprise Linux (8)
  • Debian GNU/Linux (10)
  • Ubuntu (20.04 LTS)
  • Debian GNU/Linux (11)
  • Astra Linux Special Edition (1.7)
  • OpenSUSE Leap (15.4)
  • Ubuntu (22.04 LTS)
  • Red Hat Enterprise Linux (9)
  • Astra Linux Special Edition (4.7)
  • Ubuntu (22.10)
  • ОСОН ОСнова Оnyx (до 2.7)
  • РОСА Кобальт (7.9)
  • РОСА ХРОМ (12.4)
Ссылки на источники:

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.