検出

Amazon Linux 2023 : git、git-all、git-core (ALAS2023-2024-623)

critical Nessus プラグイン ID 197965

Language:

概要

リモートの Amazon Linux 2023 ホストに、セキュリティ更新プログラムがありません。

説明

したがって、ALAS2023-2024-623 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

 Git はリビジョンコントロールシステムです。2.45.1、2.44.1、2.43.4、2.42.2、2.41.1、2.40.2、および 2.39.4 より前のバージョンでは、リポジトリにサブモジュールがある場合、Git のバグを悪用するように細工されたリポジトリを作成できます。これにより、サブモジュールのワークツリーではなく「.git/」ディレクトリにファイルを書き込むことができます。これにより、クローン操作の実行中に実行されるフックを書き込むことができ、ユーザーが実行中のコードを検査する機会がなくなります。この問題は、バージョン 2.45.1、2.44.1、2.43.4、2.42.2、2.41.1、2.40.2、2.39.4 で修正されました。Git でシンボリックリンクサポートが無効になっている場合 (例: 「git config --global core.symlinks false」を使用している)、上記の攻撃は機能しません。通常どおり、信頼できないソースからのリポジトリの複製を回避することが最善です。(CVE-2024-32002)

 Git はリビジョンコントロールシステムです。バージョン 2.45.1、2.44.1、2.43.4、2.42.2、2.41.1、2.40.2、および 2.39.4 より前では、攻撃者は、クローンされた際に、操作中に任意のコードを実行するような方法でローカルリポジトリを準備することができます。この問題は、バージョン 2.45.1、2.44.1、2.43.4、2.42.2、2.41.1、2.40.2、2.39.4 で修正されました。回避策として、信頼できないソースからのリポジトリのクローンを実行しないでください。
 (CVE-2024-32004)

 Git はリビジョンコントロールシステムです。バージョン 2.45.1、2.44.1、2.43.4、2.42.2、2.41.1、2.40.2、および 2.39.4 より前では、ソースとターゲットのリポジトリが同じディスク上にある場合、ローカルクローンがターゲットリポジトリのオブジェクトデータベースにファイルをハードリンクする可能性があります。ソースリポジトリが別のユーザーによって所有されている場合、これらのハードリンクされたファイルは、信頼できないユーザーによっていつでも書き換えられる可能性があります。ローカルリポジトリのクローンを作成すると、Git はソースリポジトリのファイルをターゲットリポジトリにコピーまたはハードリンクします。これにより、適切なクローンを実行する場合と比較して、このようなローカルクローンの速度が大幅に向上し、ディスクスペースと計算時間の両方が節約されます。現在のユーザーとは異なるユーザーが所有している同じディスクにあるリポジトリのクローンを作成すると、そのようなハードリンクも作成されます。これらのファイルは、潜在的に信頼できないユーザーによって引き続き所有およびコントロールされ、将来的にはそれが自由に書き換えられる可能性があります。この問題は、バージョン 2.45.1、2.44.1、2.43.4、2.42.2、2.41.1、2.40.2、2.39.4 で修正されました。(CVE-2024-32020)

 Git はリビジョンコントロールシステムです。バージョン 2.45.1、2.44.1、2.43.4、2.42.2、2.41.1、2.40.2、および 2.39.4 より前では、ファイルシステムを介してシンボリックリンクを含むローカルソースリポジトリのクローンを作成すると、Git はターゲットリポジトリと同じファイルシステム上の「objects/」ディレクトリ内の任意のユーザー読み取り可能なファイルへハードリンクを作成する場合があります。ファイルシステム上にローカルリポジトリのクローンを作成すると、ターゲットの Git リポジトリの「objects/」ディレクトリ内の同じファイルシステムに、ユーザーが所有する任意のファイルへのハードリンクが作成される可能性があります。ファイルシステム上でリポジトリのクローンを作成する場合 (「file://」プロトコルまたは「--no-local」を明示的に指定しない場合)、ローカルクローン作成の最適化が使用されます。これには、オブジェクトファイルをコピーする代わりにハードリンクを試行することが含まれます。コードには、CVE-2022-39253 の修正の際に追加されたソースリポジトリのシンボリックリンクに対するチェックが含まれていますが、ハードリンク操作は最終的にはシンボリックリンクに従うため、これらのチェックが競合する可能性があります。ファイルシステム上のオブジェクトがチェック中にファイルとして表示され、その後操作中にシンボリックリンクとして表示される場合、攻撃者はチェックをバイパスして、宛先のオブジェクトディレクトリに任意のユーザー読み取り可能なファイルへのハードリンクを作成できます。この問題は、バージョン 2.45.1、2.44.1、2.43.4、2.42.2、2.41.1、2.40.2、2.39.4 で修正されました。(CVE-2024-32021)

 Git はリビジョンコントロールシステムです。Git プロジェクトでは、信頼できないリポジトリでの作業を避け、代わりにまず「git clone --no-local」でクローンを作成し、クリーンなコピーを取得することを推奨しています。Git には、信頼できないソースリポジトリであっても安全に操作できるように特別な保護機能がありますが、脆弱性によりこれらの保護がバイパスされる可能性があります。他のユーザーが所有するローカルリポジトリのクローン作成の文脈では、この脆弱性は CVE-2024-32004 で言及されています。しかし、CVE-2024-32004 における修正が不十分である場合もあります。例えば、「.zip」ファイルに含まれる Git リポジトリの完全なコピーを取得する場合、デフォルトで安全であると信頼することはできません。なぜなら、フックがそのリポジトリの文脈内で実行されるように設定されている可能性があるからです。この問題は、バージョン 2.45.1、2.44.1、2.43.4、2.42.2、2.41.1、2.40.2、2.39.4 で修正されました。回避策として、信頼できないソースからのアーカイブを介して取得されたリポジトリで Git を使用しないようにします。(CVE-2024-32465)

Tenable は、前述の記述ブロックをテスト済み製品のセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

「dnf update git --releasever 2023.4.20240528」を実行してシステムを更新してください。

参考資料

https://alas.aws.amazon.com/AL2023/ALAS-2024-623.html

https://alas.aws.amazon.com/cve/html/CVE-2024-32002.html

https://alas.aws.amazon.com/cve/html/CVE-2024-32004.html

https://alas.aws.amazon.com/cve/html/CVE-2024-32020.html

https://alas.aws.amazon.com/cve/html/CVE-2024-32021.html

https://alas.aws.amazon.com/cve/html/CVE-2024-32465.html

https://alas.aws.amazon.com/faqs.html

プラグインの詳細

深刻度: Critical

ID: 197965

ファイル名: al2023_ALAS2023-2024-623.nasl

バージョン: 1.2

タイプ: local

エージェント: unix

公開日: 2024/5/28

更新日: 2024/5/29

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Critical

スコア: 9.9

CVSS v2

リスクファクター: High

基本値: 7.6

現状値: 6

ベクトル: CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2024-32002

CVSS v3

リスクファクター: Critical

基本値: 9

現状値: 8.1

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:amazon:linux:git-subtree, p-cpe:/a:amazon:linux:git-svn, p-cpe:/a:amazon:linux:gitweb, p-cpe:/a:amazon:linux:gitk, p-cpe:/a:amazon:linux:git-instaweb, p-cpe:/a:amazon:linux:git-credential-libsecret, p-cpe:/a:amazon:linux:git-core-debuginfo, p-cpe:/a:amazon:linux:git-daemon, p-cpe:/a:amazon:linux:git-all, p-cpe:/a:amazon:linux:git-debuginfo, p-cpe:/a:amazon:linux:git-p4, p-cpe:/a:amazon:linux:git-credential-libsecret-debuginfo, p-cpe:/a:amazon:linux:git-core-doc, p-cpe:/a:amazon:linux:perl-git, p-cpe:/a:amazon:linux:git-cvs, p-cpe:/a:amazon:linux:git-core, p-cpe:/a:amazon:linux:git-daemon-debuginfo, cpe:/o:amazon:linux:2023, p-cpe:/a:amazon:linux:git-email, p-cpe:/a:amazon:linux:git, p-cpe:/a:amazon:linux:git-debugsource, p-cpe:/a:amazon:linux:git-gui, p-cpe:/a:amazon:linux:perl-git-svn

必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2024/5/23

脆弱性公開日: 2024/5/14

参照情報

CVE: CVE-2024-32002, CVE-2024-32004, CVE-2024-32020, CVE-2024-32021, CVE-2024-32465