Slackware Linux 14.0/ 14.1/ 14.2/ 15.0/ 最新の git の脆弱性 (SSA:2022-104-01)
high Nessus プラグイン ID 159745
Language:
概要
リモートの Slackware Linux ホストに、git のセキュリティ更新プログラムがありません。説明
リモートホストにインストールされている git のバージョンは、2.30.4 / 2.35.3より前のバージョンです。したがって、SSA:2022-104-01 のアドバイザリに記載されている脆弱性の影響を受けます。- Git for Windows は、Windows 固有のパッチを含む Git のフォークです。この脆弱性は信頼できないパーティが同じハードディスクへの書き込みアクセス権を持つマルチユーザーマシンで作業しているユーザーに影響を与えます。これらの信頼できないパーティは、フォルダ「C: \.git」を作成する可能性があり、Git ディレクトリを検索中に、おそらくリポジトリの外で実行される Git 操作によって取得されます。そして Git はその Git ディレクトリと言われているものの構成を尊重します。「GIT_PS1_SHOWDIRTYSTATE」を設定した Git Bash のユーザーも脆弱です。PowerShell を起動するだけで posh-gitare をインストールしたユーザーが脆弱になります。Visual Studio などの IDE のユーザーが脆弱です: 新しいプロジェクトを作成するだけで、すでに「C: \.git\config」で指定されている構成を読み取り、尊重することになります。Git の Microsoft fork のユーザーは、Git Bash を起動するだけで脆弱になります。この問題は、Git for Windows v2.35.2 でパッチされています。アップグレードできないユーザーは、Git コマンドが実行されるすべてのドライブに「.git」フォルダを作成し、回避策としてこれらのフォルダから読み取り / 書き込みアクセス権を削除する可能性があります。
または、「GIT_CEILING_DIRECTORIES」を定義または拡張して、ユーザープロファイルの _parent_ ディレクトリをカバーするようにします。例:「C: \Users」、ユーザープロファイルが「C: \Users\my-user-name」に位置している場合。(CVE-2022-24765)
Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ頼っていることに注意してください。
ソリューション
影響を受ける git パッケージをアップグレードしてください。プラグインの詳細
深刻度: High
ID: 159745
ファイル名: Slackware_SSA_2022-104-01.nasl
バージョン: 1.4
タイプ: local
公開日: 2022/4/14
更新日: 2023/11/1
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: Medium
基本値: 6.9
現状値: 5.7
ベクトル: CVSS2#AV:L/AC:M/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2022-24765
CVSS v3
リスクファクター: High
基本値: 7.8
現状値: 7.2
ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:slackware:slackware_linux:git, cpe:/o:slackware:slackware_linux, cpe:/o:slackware:slackware_linux:14.0, cpe:/o:slackware:slackware_linux:14.1, cpe:/o:slackware:slackware_linux:14.2, cpe:/o:slackware:slackware_linux:15.0
必要な KB アイテム: Host/local_checks_enabled, Host/Slackware/release, Host/Slackware/packages
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
脆弱性公開日: 2022/4/12
参照情報
CVE: CVE-2022-24765