ประกาศช่องโหว่ความปลอดภัยของ Git : CVE-2022-24765, CVE-2022-24767

xguru · 2022-04-14T10:47:30+09:00

ออกรุ่นแก้ไข Git v2.35.2 แล้ว GitHub ไม่ได้รับผลกระทบจากช่องโหว่นี้ CVE-2022-24765 : บน Windows และอุปกรณ์แบบหลายผู้ใช้ ผู้โจมตีสามารถสร้างโฟลเดอร์ .git ในโฟลเดอร์ที่ใช้ร่วมกันซึ่งอยู่เหนือโฟลเดอร์ทำงาน เพื่อขโมยข้อมูลการตั้งค่าและรันคำสั่งบางอย่างได้ หากไม่สามารถอัปเกรดได้ สามารถหลีกเลี่ยงได้โดยกำหนดตัวแปรสภาพแวดล้อม GIT_CEILING_DIRECTORIES CVE-2022-24767 : สามารถวาง DLL ที่เป็นอันตรายใน C:\Windows\Temp ได้ โดยอาศัยการที่ Git Uninstaller สำหรับ Windows ทำงานจากไดเรกทอรี Temp ของผู้ใช้

(github.blog)

2 คะแนน โดย xguru 2022-04-14 | 1 ความคิดเห็น | แชร์ทาง WhatsApp

ออกรุ่นแก้ไข Git v2.35.2 แล้ว
GitHub ไม่ได้รับผลกระทบจากช่องโหว่นี้
CVE-2022-24765 :
- บน Windows และอุปกรณ์แบบหลายผู้ใช้ ผู้โจมตีสามารถสร้างโฟลเดอร์ .git ในโฟลเดอร์ที่ใช้ร่วมกันซึ่งอยู่เหนือโฟลเดอร์ทำงาน เพื่อขโมยข้อมูลการตั้งค่าและรันคำสั่งบางอย่างได้
- หากไม่สามารถอัปเกรดได้ สามารถหลีกเลี่ยงได้โดยกำหนดตัวแปรสภาพแวดล้อม GIT_CEILING_DIRECTORIES
CVE-2022-24767 :
- สามารถวาง DLL ที่เป็นอันตรายใน C:\Windows\Temp ได้ โดยอาศัยการที่ Git Uninstaller สำหรับ Windows ทำงานจากไดเรกทอรี Temp ของผู้ใช้

1 ความคิดเห็น

e1q88 2022-04-14

เวอร์ชันที่อยู่บน homebrew ตอนนี้คือ v2.35.3 นะครับ~ น่าจะดีถ้าอ้างอิงแล้วอัปเดตขึ้นกันครับ

ประกาศช่องโหว่ความปลอดภัยของ Git : CVE-2022-24765, CVE-2022-24767

บทความที่เกี่ยวข้อง

1 ความคิดเห็น