Les mainteneurs de la Gite Le système de contrôle de version du code source a publié des mises à jour pour remédier à deux vulnérabilités critiques qui pourraient être exploitées par un acteur malveillant pour réaliser l’exécution de code à distance.
Les défauts, suivis comme CVE-2022-23521 et CVE-2022-41903affecte les versions suivantes de Git : v2.30.6, v2.31.5, v2.32.4, v2.33.5, v2.34.5, v2.35.5, v2.36.3, v2.37.4, v2.38.2 et v2.39.0.
Les versions corrigées incluent v2.30.7, v2.31.6, v2.32.5, v2.33.6, v2.34.6, v2.35.6, v2.36.4, v2.37.5, v2.38.3 et v2.39.1. Les chercheurs en sécurité X41 D-Sec Markus Vervier et Eric Sesterhenn ainsi que Joern Schneeweisz de GitLab ont été crédités d’avoir signalé les bogues.
« Le problème le plus grave découvert permet à un attaquant de déclencher une corruption de mémoire basée sur le tas lors d’opérations de clonage ou d’extraction, ce qui peut entraîner l’exécution de code », a déclaré la société allemande de cybersécurité. m’a dit de CVE-2022-23521.
CVE-2022-41903, également une vulnérabilité critique, est déclenchée lors d’une opération d’archivage, entraînant l’exécution de code via une faille de débordement d’entier qui survient lors du formatage des journaux de validation.
« En outre, un grand nombre de problèmes liés aux nombres entiers ont été identifiés, ce qui peut entraîner des situations de déni de service, des lectures hors limites ou simplement des cas d’angle mal gérés sur des entrées volumineuses », a noté X41 D-Sec.
Bien qu’il n’y ait pas de solution de contournement pour CVE-2022-23521, Git recommande aux utilisateurs de désactiver « git archive » dans les référentiels non approuvés comme atténuation pour CVE-2022-41903 dans les scénarios où la mise à jour vers la dernière version n’est pas une option.
GitLab, dans un conseil coordonné, m’a dit il a publié les versions 15.7.5, 15.6.6 et 15.5.9 pour GitLab Community Edition (CE) et Enterprise Edition (EE) pour remédier aux lacunes, exhortant les clients à appliquer les correctifs avec effet immédiat.
