Af Eskil Sørensen, 18/01/23
Git har rettet to kritiske sikkerhedssårbarheder, der kan give angribere mulighed for at afvikle vilkårlig kode. Dette kan ske hvis der sker en succesfuld udnyttelse af heap-baserede bufferoverload-sårbarheder. Det skriver Bleeping Computer.
Risikoen ved de to sårbarheder (CVE-2022-41903 i commit-formateringsmekanismen og CVE-2022-23521 i .gitattributes-parseren) betegnes som ’high’. De vedrører begge Git for Windows, version 2.0.0 - 2.39.0.2.
Der er også fundet en tredje sårbarhed, CVE-2022-41953, men den afventer stadig en patch. Her kan brugere kan løse problemet ved ikke at bruge Git GUI-softwaren til at klone lagre eller undgå kloning fra kilder, der ikke er tillid til.
Brugerne opfordres til at opgradere til den seneste Git-udgivelse (v2.39.1).
Git er et værktøj, der bruges af udviklere til bl.a. versionsstyring ifm. med softwareudviklingsprojekter.
Links:
https://github.blog/2023-01-17-git-security-vulnerabilities-announced-2/