Git vulnerabilità CVE-2022-39253 espone dati sensibili ad attori non autorizzati
Nuova vulnerabilità in Git. Aggiorna subito!
Git espone dati sensibili ad attori non autorizzati
Aggiorna subito o mitiga la vulnerabilità CVE-2022-39253
Cos'è Git
Git è un sistema open source, scalabile e distribuito di revisione del codice.
In poche parole e senza approfondire minimamente è un software che gli sviluppatori utilizzano per gestire le varie versioni dello sviluppo di codice senza il bisogno di eseguire i classici backup.
Vulnerabilità CVE-2022-39253
Nelle versioni, 2.31.5, 2.32.4, 2.33.5, 2.34.5, 2.35.5, 2.36.3, e 2.37.4 è stata scoperta una vulnerabilità che, se sfruttata, espone informazioni sensibili a malintenzionati.
La vulnerabilità registrata con il codice CVE-2022-39253 è stata valutata con un punteggio CVSS 3.x di 5.5 (medio) ed è stata scoperta da Cory Snider di Mirantis mentre Wenxiang Qian di Tencent Blade Team ha riportato la vulnerabilità legata alla copia del symlink nel comando docker build
e Bjorn Neergaard di Mirantis ha scoperto che anche Podman è soggetto a questa vulnerabilità.
Come viene sfruttata la vulnerabilità CVE-2022-39253
Quando viene eseguito un clone in locale, cioè quando il sorgente e la copia sono nello stesso volume, Git copia il contenuto della cartella sorgente $GIT_DIR/objects
al percorso di destinazione o creando hardlinks al contenuto sorgente oppure copiandolo direttamente in caso gli hardlinks siano stati disabilitati.
Un malintenzionato, per sfruttare la vulnerabilità CVE-2022-39253, potrebbe convincere la vittima a clonare un repository con un link simbolico che punta ad informazioni sensibili nella macchina della vittima.
Questo può essere fatto sia clonando un repository malevolo presente nella stessa macchina della vittima, sia clonando un repository malevolo come sottomodulo di un repository legittimo.
Azioni consigliate
Il problema è stato risolto dalla versione 2.30.x con una patch pubblicata il 18-10-2022 dunque la cosa migliore da fare è aggiornare git.
E’ comunque possibile non aggiornare applicando questi potenziali workarounds:
Evitare di clonare repository di cui non ci si fida usando l’ottimizzazione --local
se si è su una macchina condivisa
Evitare di clonare repository di cui non ci si fida usando --no-local
del comando git clone
o clonando da un URL che utilizza lo schema file://
Evitare di clonare repository da fonti non fidate con --recurse-submodules
o eseguendo git config –global protocol.file.allow.user
Fonti
- https://nvd.nist.gov/vuln/detail/CVE-2022-39253#vulnCurrentDescriptionTitle
- https://github.com/git/git/security/advisories/GHSA-3wp6-j8xr-qw85
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/VFYXCTLOSESYIP72BUYD6ECDIMUM4WMB/
Author: Fantantonio
Date: 26/10/2022
Categories: cyber security
Tags: cve-2022-39253 git