git

Git har rettet to kritiske sikkerhedssårbarheder, der kan give angribere mulighed for at afvikle vilkårlig kode. Dette kan ske hvis der sker en succesfuld udnyttelse af heap-baserede bufferoverload-sårbarheder. Det skriver Bleeping Computer. 

Risikoen ved de to sårbarheder (CVE-2022-41903 i commit-formateringsmekanismen og CVE-2022-23521 i .gitattributes-parseren) betegnes som ’high’. De vedrører begge Git for Windows, version 2.0.0 - 2.39.0.2.

Tre udbredte systemer til versionsstyring er ramt af en sårbarhed, der ligger i behandlingen af URL'er, som begynder med "ssh:". Sårbarheden gør det muligt at afvikle en kommando på serveren, der kører Gitlab, Subversion eller Mercurial.

Fejlen er rettet i Gitlab .4.4, 9.3.10, 9.2.10, 9.1.10, 9.0.13 og 8.17.8. Der er rettelser til både GitLab Community Edition (CE) og Enterprise Edition (EE). Endvidere er Git rettet med versionerne 2.14.1, 2.7.6, 2.8.6, 2.9.5, 2.10.4, 2.11.3, 2.12.4 og 2.13.5.

Mercurial 4.3 lukker ligeledes hullet.