BDU:2022-02723

АО "НППКТ", Apple Inc., Microsoft Corp, ООО «Ред Софт», Canonical Ltd., Сообщество свободного програ Xcode, Fedora, Microsoft Visual Studio 2022, Astra Linux Special Edition, Microsoft Visual Studio 20

НЕ ОЦЕНЕНО

Дата обнаружения

2022-04-12

Официальное описание

Уязвимость распределенной системы управления версиями Git связана с возможностью создать папку "C:\.git". Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, запускать произвольные команды

🛡️

Технический анализ и план устранения

🇷🇺 Рекомендация ФСТЭК

Использование рекомендаций:

Для Git: https://git-scm.com/downloads

Для продуктов Red Hat Inc.:

https://access.redhat.com/hydra/rest/securitydata/cve/CVE-2022-24765.xml

Для Ubuntu:

https://ubuntu.com/security/CVE-2022-24765

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2022-24765

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/5PTN5NYEHYN2OQSHSAMCNICZNK2U4QH6/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BENQYTDGUL6TF3UALY6GSIEXIHUIYNWM/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SLP42KIZ6HACTVZMZLJLFJQ4W2XYT27M/

Для продуктов Microsoft Corp.: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-24765

Для Apple Xcode: https://support.apple.com/kb/HT213261

Организационные меры: Пользователи, которые не имеют возможности выполнить обновление, могут: 1. Создать папку .git на всех дисках, где выполняются команды Git, и удалить доступ для чтения/записи к этим папкам 2. Определить GIT_CEILING_DIRECTORIES переменную среды , чтобы она содержала родительский каталог вашего профиля пользователя (т . е. /Users в macOS, /homeLinux и C:\UsersWindows) 3. Избегайть запуска Git на многопользовательских компьютерах, если ваш текущий рабочий каталог не находится в доверенном репозитории

Для ОСОН Основа: Обновление программного обеспечения git до версии 1:2.36.1-1

Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD

Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD

Для Astra Linux Special Edition 1.6 «Смоленск»:: обновить пакет git до 1:2.11.0-3+deb9u10+ci202408021513+astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.

← Вернуться к списку уязвимостей