検出

Amazon Linux 2023 : git、git-all、git-core (ALAS2023-2023-065)

critical Nessus プラグイン ID 173170

Language:

概要

リモートの Amazon Linux 2023 ホストに、セキュリティ更新プログラムがありません。

説明

したがって、ALAS2023-2023-065 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

 - Git は、分散リビジョン管理システムです。gitattributes は、パスの属性を定義できるメカニズムです。これらの属性は、「.gitattributes」ファイルをリポジトリに追加することで定義できます。このファイルには、一連のファイルパターンと、このパターンに一致するパスに設定すべき属性が含まれています。gitattributes を解析するとき、膨大な数のパスパターンがある場合、一つのパターンに対して膨大な数の属性がある場合、または宣言された属性名が膨大な場合、複数の整数オーバーフローが発生する可能性があります。これらのオーバーフローは、コミット履歴の一部である「.gitattributes」ファイルを細工することで引き起こされる可能性があります。Git は、ファイルからの gitattributes を解析する際に 2KB を超える行を警告なしで分割しますが、インデックスから解析する場合は分割しません。結果として、エラーモードは、ファイルが作業ツリー、インデックス、またはその両方に存在するかどうかに依存します。この整数オーバーフローにより、任意のヒープ読み取りおよび書き込みが発生し、リモートコード実行を引き起こす可能性があります。この問題は、2023-01-17 に公開されたバージョンで、v2.30.7 まで遡ってパッチが適用されています。ユーザーはアップグレードすることをお勧めします。この問題についての既知の回避策はありません。(CVE-2022-23521)

 - Git for Windows は、Windows 固有のパッチを含む Git のフォークです。この脆弱性は信頼できないパーティが同じハードディスクへの書き込みアクセス権を持つマルチユーザーマシンで作業しているユーザーに影響を与えます。これらの信頼できないパーティは、フォルダ「C: \.git」を作成する可能性があり、Git ディレクトリを検索中に、おそらくリポジトリの外で実行される Git 操作によって取得されます。そして Git はその Git ディレクトリと言われているものの構成を尊重します。「GIT_PS1_SHOWDIRTYSTATE」を設定した Git Bash のユーザーも脆弱です。PowerShell を起動するだけで posh-gitare をインストールしたユーザーが脆弱になります。Visual Studio などの IDE のユーザーが脆弱です: 新しいプロジェクトを作成するだけで、すでに「C: \.git\config」で指定されている構成を読み取り、尊重することになります。Git の Microsoft fork のユーザーは、Git Bash を起動するだけで脆弱になります。この問題は、Git for Windows v2.35.2 でパッチされています。アップグレードできないユーザーは、Git コマンドが実行されるすべてのドライブに「.git」フォルダを作成し、回避策としてこれらのフォルダから読み取り / 書き込みアクセス権を削除する可能性があります。
 または、「GIT_CEILING_DIRECTORIES」を定義または拡張して、ユーザープロファイルの _parent_ ディレクトリをカバーするようにします。例:「C: \Users」、ユーザープロファイルが「C: \Users\my-user-name」に位置している場合。(CVE-2022-24765)

 - Git は分散リビジョンコントロールシステムです。バージョン 2.37.1、2.36.2、2.35.4、2.34.4、2.33.4、2.32.3、2.31.4、2.30.5 より前の Git は、すべてのプラットフォームで権限昇格に対して脆弱です。疑いを持たないユーザーは、CVE-2022-24765で報告されている問題の影響を引き続き受ける可能性があります。例えば、root として、所有されている共有 tmp ディレクトリに移動する際に、攻撃者が git リポジトリを作成する可能性があります。バージョン 2.37.1、2.36.2、2.35.4、2.34.4、2.33.4、2.32.3、2.31.4、2.30.5 には、この問題に対するパッチが含まれています。例で説明されている悪用による影響を回避する最も簡単な方法は、root (または Windows の管理者) としての git の実行を回避し、必要に応じてその使用を最小限に抑えることです。一般的な回避策は可能ではありません、このようなリポジトリがすでに存在する場合は削除し、今後の攻撃をブロックするために root としてリポジトリを作成することで、例で説明されている悪用に対してシステムを強化できます。(CVE-2022-29187)

 - Git は、オープンソースのスケーラブルな分散リビジョンコントロールシステムです。2.30.6、2.31.5、2.32.4、2.33.5、2.34.5、2.35.5、2.36.3 および 2.37.4より前のバージョンは、悪意のある攻撃者に機密情報を漏洩する可能性があります。ローカルクローンを実行するとき (クローンのソースとターゲットが同じボリュームにある場合)、Git はソースコンテンツへのハードリンクを作成するか、それらをコピーすることで、ソースの「$GIT_DIR/objects」ディレクトリのコンテンツを宛先にコピーします (ハードリンクは「--no-hardlinks」によって無効化されます)。悪意のある攻撃者が、被害者のマシンの機密情報を指し示すシンボリックリンクを含むリポジトリを複製するように被害者を誘導する可能性があります。これは、被害者に同じマシン上の悪意のあるリポジトリのクローンを作成させるか、「--recurse-submodules」オプションで複製した場合に、任意のソースからサブモジュールを介して悪意のあるリポジトリのクローンを作成することによって行えます。
 Git は「$GIT_DIR/objects」ディレクトリにシンボリックリンクを作成しません。この問題には、v2.30.x にさかのぼって、2022 年 10 月 18 日に公開されたバージョンでパッチが適用されています。考えられる回避策: 共有マシン上では「--local」最適化を使用して信頼できないリポジトリを複製しないようにする、または「--no-local」オプションを「git 複製」に渡すか「file: //」スキームを使用する URL から複製します。または、信頼できないソースのリポジトリを「--recurse-submodules」で複製しないか、「git config --globalprotocol.file.allow user」を実行します。(CVE-2022-39253)

 - Git は、オープンソースでスケーラブルな分散型リビジョン管理システムです。「git shell」は、SSH 経由で Git のプッシュ/プル機能を実装するために使用できる制限付きログインシェルです。2.30.6、2.31.5、2.32.4、2.33.5、2.34.5、2.35.5、2.36.3、および 2.37.4より前のバージョンでは、コマンド引数を配列に分割する関数が、「int」を不適切に使用して悪意のある攻撃者が意図的に戻り値をオーバーフローさせ、任意のヒープ書き込みを引き起こす可能性があります。その後、結果の配列が「execv()」に渡されるため、この攻撃を利用して、被害者のマシンでリモートコードを実行することが可能です。注意: この攻撃に対して脆弱であるためには、被害者はまずログインシェルとして「git shell」へのアクセスを許可する必要があります。この問題はバージョン 2.30.6、2.31.5、2.32.4、2.33.5、2.34.5、2.35.5、2.36.3、および 2.37.4でパッチが適用されています。ユーザーには最新バージョンにアップグレードすることを推奨します。
 実行可能な短期的な回避策は、リモートログインを使用して「git shell」アクセスを無効にすることです。(CVE-2022-39260)

 - Git は、分散リビジョン管理システムです。「git log」は、その「--format」指定子を使用して、任意の形式でコミットを表示できます。この機能は、「export-subst」gitattribute を介して「git archive」でも公開されます。「pretty.c: : format_and_pad_commit()」において、パディング演算子の処理時に 「size_t」が「int」として不適切に保存され、「memcpy()」のオフセットとして追加されるという整数オーバーフローがあります。このオーバーフローは、コミットフォーマット機構を呼び出すコマンド (例:「git log --format=...」) を実行するユーザーによって直接引き起こされる可能性があります。また、export-subst メカニズムを介して git アーカイブから間接的に引き起こされる可能性もあります。これにより、git アーカイブ中にリポジトリ内のファイル内の書式指定子が拡張されます。この整数オーバーフローにより、任意のヒープ書き込みが発生し、任意コード実行を引き起こす可能性があります。この問題は、2023-01-17 に公開されたバージョンで、v2.30.7 まで遡ってパッチが適用されています。ユーザーはアップグレードすることをお勧めします。アップグレードできないユーザーは、信頼できないリポジトリで「git archive」を無効にする必要があります。「git daemon」で git アーカイブを公開する場合は、「git config --globaldaemon.uploadArch false」を実行してアーカイブを無効にします。(CVE-2022-41903)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

「dnf update git --releasever=2023.0.20230222」を実行してシステムを更新してください。

参考資料

https://alas.aws.amazon.com/AL2023/ALAS-2023-065.html

https://alas.aws.amazon.com/cve/html/CVE-2022-23521.html

https://alas.aws.amazon.com/cve/html/CVE-2022-24765.html

https://alas.aws.amazon.com/cve/html/CVE-2022-29187.html

https://alas.aws.amazon.com/cve/html/CVE-2022-39253.html

https://alas.aws.amazon.com/cve/html/CVE-2022-39260.html

https://alas.aws.amazon.com/cve/html/CVE-2022-41903.html

https://alas.aws.amazon.com/faqs.html

プラグインの詳細

深刻度: Critical

ID: 173170

ファイル名: al2023_ALAS2023-2023-065.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

公開日: 2023/3/21

更新日: 2023/4/20

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Medium

基本値: 6.9

現状値: 5.7

ベクトル: CVSS2#AV:L/AC:M/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2022-29187

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 9.1

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C

CVSS スコアのソース: CVE-2022-41903

脆弱性情報

CPE: p-cpe:/a:amazon:linux:git, p-cpe:/a:amazon:linux:git-all, p-cpe:/a:amazon:linux:git-core, p-cpe:/a:amazon:linux:git-core-debuginfo, p-cpe:/a:amazon:linux:git-core-doc, p-cpe:/a:amazon:linux:git-credential-libsecret, p-cpe:/a:amazon:linux:git-credential-libsecret-debuginfo, p-cpe:/a:amazon:linux:git-cvs, p-cpe:/a:amazon:linux:git-daemon, p-cpe:/a:amazon:linux:git-daemon-debuginfo, p-cpe:/a:amazon:linux:git-debuginfo, p-cpe:/a:amazon:linux:git-debugsource, p-cpe:/a:amazon:linux:git-email, p-cpe:/a:amazon:linux:git-gui, p-cpe:/a:amazon:linux:git-instaweb, p-cpe:/a:amazon:linux:git-p4, p-cpe:/a:amazon:linux:git-subtree, p-cpe:/a:amazon:linux:git-svn, p-cpe:/a:amazon:linux:gitk, p-cpe:/a:amazon:linux:gitweb, p-cpe:/a:amazon:linux:perl-git, p-cpe:/a:amazon:linux:perl-git-svn, cpe:/o:amazon:linux:2023

必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2023/2/17

脆弱性公開日: 2022/4/12

参照情報

CVE: CVE-2022-23521, CVE-2022-24765, CVE-2022-29187, CVE-2022-39253, CVE-2022-39260, CVE-2022-41903