Создатели Git исправили две критические уязвимости, которые позволяют выполнять произвольный код после успешного использования ошибок переполнения буфера кучи.

Кроме того, также была исправлена ​​третья уязвимость только для Windows, влияющая на графический интерфейс Git, связанная с ненадежным путем поиска, который позволял злоумышленникам, не прошедшим проверку подлинности, выполнять ненадежный код.

Первые два уязвимы (CVE-2022-41903 в механизме формирования коммитов и CVE-2022-23521 в парсере .gitattributes) были исправлены во всех версиях, начиная с 2.30.7.

Третья проблема, обозначенная как CVE-2022-41953, все еще ожидает исправления, но, как сообщается, пользователи могут снизить риски, не используя графический интерфейс Git для клонирования репозиториев и избегая клонирования из источников, которым не доверяют.

Все три проблемы были обнаружены экспертами X41 и GitLab внутри компании. аудит Исходный код Git спонсируется OSTIF.

«Самая серьезная обнаруженная проблема позволяет злоумышленнику инициировать повреждение информации в динамической памяти во время операций клонирования или извлечения, что может привести к выполнению произвольного кода. Другая критическая проблема позволяет выполнять код во время операции хранения, X41 комментируют эксперты, работая с взаимоблокировками, возникающими при работе с большими объемами ввода».

Самый эффективный способ защититься от всех обнаруженных проблем — обновить Git до последней версии (2.39.1).

Source

ЧИТАТЬ  Используется для уязвимости в опубликованном CryptoAPI

от admin