BDU:2023-00499
АО "НППКТ", Novell Inc., ООО «Ред Софт», Canonical Ltd., Red Hat Inc., Сообщество свободного програм Red Hat Enterprise Linux, Astra Linux Special Edition, Red Hat Software Collections, Ubuntu, Debian
2023-01-17
Уязвимость механизма определения атрибутов для путей gitattributes распределенной системы контроля версий Git связана с целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью специально созданного файла .gitattributes
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для Git: https://github.com/git/git/commit/508386c6c5857b4faa2c3e491f422c98cc69ae76
Организационные меры: - избегать прямого вызова --format механизма с известными операторами и избегать запуска git archive в ненадежных репозиториях.
Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2022-23521
Для Ubuntu: https://ubuntu.com/security/CVE-2022-23521 https://ubuntu.com/security/notices/USN-5810-1
Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2022-23521.html
Для ОС РОСА "КОБАЛЬТ": https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2130
Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2022-23521
Для ОСОН ОСнова Оnyx (версия 2.7): Обновление программного обеспечения git до версии 1:2.39.1-0.1
Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD
Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Astra Linux Special Edition 1.6 «Смоленск»:: обновить пакет git до 1:2.11.0-3+deb9u10+ci202408021513+astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2398