Git vulnerabilità CVE-2022-39253 espone dati sensibili ad attori non autorizzati

Nuova vulnerabilità in Git. Aggiorna subito!

Git espone dati sensibili ad attori non autorizzati

Aggiorna subito o mitiga la vulnerabilità CVE-2022-39253

Cos'è Git

Git è un sistema open source, scalabile e distribuito di revisione del codice.

In poche parole e senza approfondire minimamente è un software che gli sviluppatori utilizzano per gestire le varie versioni dello sviluppo di codice senza il bisogno di eseguire i classici backup.

Vulnerabilità CVE-2022-39253

Nelle versioni, 2.31.5, 2.32.4, 2.33.5, 2.34.5, 2.35.5, 2.36.3, e 2.37.4 è stata scoperta una vulnerabilità che, se sfruttata, espone informazioni sensibili a malintenzionati. La vulnerabilità registrata con il codice CVE-2022-39253 è stata valutata con un punteggio CVSS 3.x di 5.5 (medio) ed è stata scoperta da Cory Snider di Mirantis mentre Wenxiang Qian di Tencent Blade Team ha riportato la vulnerabilità legata alla copia del symlink nel comando docker build e Bjorn Neergaard di Mirantis ha scoperto che anche Podman è soggetto a questa vulnerabilità.

Come viene sfruttata la vulnerabilità CVE-2022-39253

Quando viene eseguito un clone in locale, cioè quando il sorgente e la copia sono nello stesso volume, Git copia il contenuto della cartella sorgente $GIT_DIR/objects al percorso di destinazione o creando hardlinks al contenuto sorgente oppure copiandolo direttamente in caso gli hardlinks siano stati disabilitati.

Un malintenzionato, per sfruttare la vulnerabilità CVE-2022-39253, potrebbe convincere la vittima a clonare un repository con un link simbolico che punta ad informazioni sensibili nella macchina della vittima.

Questo può essere fatto sia clonando un repository malevolo presente nella stessa macchina della vittima, sia clonando un repository malevolo come sottomodulo di un repository legittimo.

Azioni consigliate

Il problema è stato risolto dalla versione 2.30.x con una patch pubblicata il 18-10-2022 dunque la cosa migliore da fare è aggiornare git. E’ comunque possibile non aggiornare applicando questi potenziali workarounds: Evitare di clonare repository di cui non ci si fida usando l’ottimizzazione --local se si è su una macchina condivisa Evitare di clonare repository di cui non ci si fida usando --no-local del comando git clone o clonando da un URL che utilizza lo schema file:// Evitare di clonare repository da fonti non fidate con --recurse-submodules o eseguendo git config –global protocol.file.allow.user

Fonti

Se ti è piaciuto questo articolo e vorresti leggerne altri quando disponibili, considera di aggiungere il Feed RSS in un aggregatore di notizie come Feedly oppure salva questo sito tra i preferiti e torna quando vuoi 👋

Author: Fantantonio

Date: 26/10/2022

Categories: cyber security

Tags: cve-2022-39253 git