В Git устранили уязвимости перезаписи файлов и выполнения кода

Татьяна Никитина 26 Апреля 2023 - 19:21

...

В Git устранили уязвимости перезаписи файлов и выполнения кода

Участники Git-проекта выпустили новые версии софта, суммарно закрыв пять уязвимостей; степень опасности угрозы почти во всех случаях оценена как высокая. Три устраненные проблемы проявляются только на платформе Windows.

Согласно записи в блоге GitHub, в появлении уязвимости CVE-2023-29007 повинна реализация механизма переименования / удаления секций файла $GIT_DIR/config. В код вкралась логическая ошибка, из-за которой значения конфигурации, превышающие фиксированную длину, обрабатываются некорректно.

В результате открылась возможность для инъекции, позволяющей злоумышленнику выполнить любой код. С этой целью можно, например, указать очень длинный URL вложенного модуля, и он будет интерпретирован как новая настройка при попытке удаления через git submodule deinit.

Уязвимость CVE-2023-25652 проявляется при установке патчей и позволяет перезаписать содержимое файлов в произвольной папке с помощью команды git apply –reject. Дело в том, что в Git предусмотрена защита от манипуляций через символические ссылки, а с выпуском сборки 2.39.1 ее дополнили блокировкой патчей, создающих симлинки с неблаговидной целью. К сожалению, эта мера безопасности оказалась неполноценной.

В версии Git для Windows устранены также следующие уязвимости:

CVE-2023-29012 — некорректное выполнение поиска doskey.exe в рабочем каталоге с помощью Git CMD; грозит исполнением произвольного кода;
CVE-2023-29011 — возможность подмены файла connect.exe при работе через SOCKS5 на многопользовательских машинах;
CVE-2023-25815 — запись за границами буфера при обработке особых файлов локализации в gettext.

Патчи включены в состав сборки Git 2.40.1, а также новых выпусков в других ветках: 2.39.3, 2.38.5, 2.37.7, 2.36.6, 2.35.8, 2.34.8, 2.33.8, 2.32.7, 2.31.8, 2.30.9. Пользователям советуют произвести обновление в кратчайшие сроки.

При отсутствии такой возможности рекомендуется проверять содержимое $GIT_DIR/config перед запуском git submodule deinit, git config --rename-section и git config --remove-section при работе с недоверенными репозиториями, а также воздержаться от использования git apply –reject, если источник патча не вызывает доверия.

Временные меры защиты Git для Windows: воздержаться от использования софта на машинах с общим аккаунтом; не использовать Git CMD либо убедиться, что программа стартует из доверенной директории.

В этом году Git уже латали — в январе. На тот момент в системе контроля версий устранили три уязвимости удаленного исполнения кода; одна из них тоже проявлялась лишь на Windows.

Следующая главная новость »

Защита мобильных приложений: где бизнес теряет данные?
Регистрируйтесь на эфир!

Екатерина Быстрова 15 Мая 2026 - 15:32

Соответствие законодательству РФ Корпорации Персональный VPN Анонимайзеры Системы контентной веб-фильтрации Соответствие требованиям регуляторов

Маркетплейсы потеряли до 10% трафика после блокировки VPN

Российские маркетплейсы в апреле столкнулись с падением пользовательской активности после новых ограничений на VPN-трафик. Больше всего досталось Wildberries: по оценкам экспертов, мобильный веб-трафик площадки за месяц сократился на 10%, а десктопный — на 6%.

Об этом пишет «Коммерсантъ» со ссылкой на данные Digital Budget. У Ozon и «Яндекс Маркета» мобильный трафик в апреле снизился на 3%, у «Авито» — на 1,5%. На десктопе картина мягче: у Ozon трафик даже вырос на 1%, у «Авито» — на 2%, а у «Яндекс Маркета» — сразу на 26%. Но Wildberries оказался в минусе и там.

Причину участники рынка связывают с требованием Минцифры ограничивать доступ к российским платформам через VPN. В конце марта стало известно, что ИТ-компании, которые не будут блокировать такой трафик, могут лишиться места в профильном реестре министерства. А заодно — вылететь из «белого списка» сайтов, доступных при отключении интернета.

Проблема в том, что многие пользователи держат VPN включённым постоянно, не специально ради маркетплейсов, а просто в фоне для других сервисов. В итоге человек открывает приложение, видит сбои, задержки или недоступность, закрывает его и идёт заниматься жизнью. Корзина подождёт, продавцы — нет.

По оценке Strategy Partners, трафик приложений маркетплейсов в апреле сократился на 2-10% в зависимости от площадки. Продажи могли просесть до 4%, поскольку активное ядро покупателей всё же остаётся. Но для отрасли даже такие проценты — не мелочь.

По оценкам селлеров, падение выручки в апреле составило от 3% до 30% по сравнению с мартом. Они напрямую связывают это с блокировками VPN. Операционный директор «Рейтинга Рунета» Анатолий Денисов оценивает возможные денежные потери площадок примерно в 1%. Если пересчитать на общий объём продаж маркетплейсов в 2025 году — 8,59 трлн рублей, — речь может идти примерно о 7 млрд рублей.

В Ассоциации компаний интернет-торговли считают, что ограничения VPN-трафика усложняют доступ к российским сервисам как для покупателей внутри страны, так и за рубежом. А это уже бьёт не только по удобству, но и по конкурентоспособности площадок.

Отдельно эксперты отмечают, что лучше держатся сервисы внутри крупных экосистем. Например, «Яндекс Маркет» мог частично компенсировать потери за счёт поиска, браузера, рекламной сети и других продуктов «Яндекса». Если пользователь не пришёл через один вход, экосистема может аккуратно провести его через другой.

А вот площадки, которые сильнее зависят от внешнего трафика, рекламы в соцсетях и переходов из мессенджеров, оказываются уязвимее. Для них VPN-блокировки — это не просто техническая мера, а реальный удар по воронке продаж.

Защита мобильных приложений: где бизнес теряет данные?
Регистрируйтесь на эфир!