BDU:2023-00609
АО "НППКТ", ООО «Ред Софт», Canonical Ltd., Сообщество свободного программного обеспечения, АО «НТЦ Astra Linux Special Edition, Ubuntu, Debian GNU/Linux, ОСОН ОСнова Оnyx, РЕД ОС, РОСА ХРОМ, Git, РОС
2023-01-17
Уязвимость функции pretty.c::format_and_pad_commit() механизма форматирования коммитов распределенной системы контроля версий Git связана с переполнением буфера в динамической памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для Git: https://github.com/git/git/security/advisories/GHSA-475x-2q3q-hvwq
Компенсирующие меры:
отключение «git-архив» путем запустка git config --global daemon.uploadArch false.
Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2022-41903
Для ОС РОСА "КОБАЛЬТ": https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2130
Для Ubuntu: https://ubuntu.com/security/CVE-2022-41903 https://ubuntu.com/security/notices/USN-5810-1
Для ОСОН ОСнова Оnyx (версия 2.7): Обновление программного обеспечения git до версии 1:2.39.1-0.1
Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD
Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Astra Linux Special Edition 1.6 «Смоленск»:: обновить пакет git до 1:2.11.0-3+deb9u10+ci202408021513+astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2398