Git patcher to kritiske sårbarheder

Fejl kan udløse RCE.

Git har rettet to kritiske sikkerhedssårbarheder, der kan give angribere mulighed for at afvikle vilkårlig kode. Dette kan ske hvis der sker en succesfuld udnyttelse af heap-baserede bufferoverload-sårbarheder. Det skriver Bleeping Computer. 

Risikoen ved de to sårbarheder (CVE-2022-41903 i commit-formateringsmekanismen og CVE-2022-23521 i .gitattributes-parseren) betegnes som ’high’. De vedrører begge Git for Windows, version 2.0.0 - 2.39.0.2.

Der er også fundet en tredje sårbarhed, CVE-2022-41953, men den afventer stadig en patch. Her kan brugere kan løse problemet ved ikke at bruge Git GUI-softwaren til at klone lagre eller undgå kloning fra kilder, der ikke er tillid til.

Brugerne opfordres til at opgradere til den seneste Git-udgivelse (v2.39.1).

Git er et værktøj, der bruges af udviklere til bl.a. versionsstyring ifm. med softwareudviklingsprojekter.

Links:

https://www.bleepingcomputer.com/news/security/git-patches-two-critical-remote-code-execution-security-flaws/

https://github.blog/2023-01-17-git-security-vulnerabilities-announced-2/