Informazioni sul CVE-2024-32002
Git's recursive clones on case-insensitive filesystems that support symlinks are susceptible to Remote Code Execution
CWE ID: CWE-22
Base Score (CVSS): N/A
CVE: CVE-2024-32002
Descrizione: Git è un sistema di controllo delle revisioni. Prima di versioni 2.45.1, 2.44.1, 2.43.4, 2.42.2, 2.41.1, 2.40.2, e 2.39.4, è possibile creare repository con submoduli in modo che un bug in Git possa essere sfruttato, facendoli scrivere file non nel lavoro del submodule ma in un directory `.git/`. Questo permette di creare uno hook che verrà eseguito durante l’operazione di clonaggio, dando all’utente nessuna possibilità di controllare il codice che viene eseguito. Il problema è stato corretto in versioni 2.45.1, 2.44.1, 2.43.4, 2.42.2, 2.41.1, 2.40.2, e 2.39.4. Se il supporto per i link simbolici è disabilitato in Git (ad esempio, tramite `git config –global core.symlinks false`), l’attacco descritto non funzionerà. Come sempre, è meglio evitare di clonare repository da fonti non attendibili.
Vettore di attacco CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: None, Interazione utente: None, Confidenzialità: High, Integrità: High, Disponibilità: High.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | H | High | L’attacco richiede condizioni particolari o avanzate. |
| Privileges Required (PR) | N | None | Non sono richiesti privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | C | Changed | La vulnerabilità impatta su componenti esterni. |
| Confidentiality Impact (C) | H | High | Grave impatto sulla riservatezza. |
| Integrity Impact (I) | H | High | Grave impatto sull’integrità. |
| Availability Impact (A) | H | High | Rende il sistema inutilizzabile. |
Riferimenti esterni
- https://github.com/git/git/security/advisories/GHSA-8h77-4q3w-gfgv
- https://github.com/git/git/commit/97065761333fd62db1912d81b489db938d8c991d
- https://git-scm.com/docs/git-clone#Documentation/git-clone.txt—recurse-submodulesltpathspecgt
- https://git-scm.com/docs/git-config#Documentation/git-config.txt-coresymlinks
- https://lists.fedoraproject.org/archives/list/[email protected]/message/S4CK4IYTXEOBZTEM5K3T6LWOIZ3S44AR/
- http://www.openwall.com/lists/oss-security/2024/05/14/2
- https://lists.debian.org/debian-lts-announce/2024/06/msg00018.html
Prodotti interessati
- git – git