Git kaynak kodu sürüm kontrol sisteminin bakımcıları, kötü niyetli bir aktör tarafından uzaktan kod yürütmeyi başarmak için kullanılabilecek iki kritik güvenlik açığını gidermek için güncellemeler yayınladı.
İzlenen kusurlar CVE-2022-23521 ve CVE-2022-41903şu Git sürümlerini etkiler: v2.30.6, v2.31.5, v2.32.4, v2.33.5, v2.34.5, v2.35.5, v2.36.3, v2.37.4, v2.38.2 ve v2.39.0.
Yamalı sürümler arasında v2.30.7, v2.31.6, v2.32.5, v2.33.6, v2.34.6, v2.35.6, v2.36.4, v2.37.5, v2.38.3 ve v2.39.1 bulunur. X41 D-Sec güvenlik araştırmacıları Markus Vervier ve Eric Sesterhenn’in yanı sıra GitLab’dan Joern Schneeweisz’in hataları bildirdiği kabul edildi.
Alman siber güvenlik şirketi CVE-2022-23521 hakkında “Keşfedilen en ciddi sorun, bir saldırganın klonlama veya çekme işlemleri sırasında yığın tabanlı bir bellek bozulmasını tetiklemesine izin veriyor, bu da kod yürütülmesine neden olabilir” dedi.
Yine kritik bir güvenlik açığı olan CVE-2022-41903, bir arşiv işlemi sırasında tetiklenir ve taahhüt günlüklerini biçimlendirirken ortaya çıkan bir tamsayı taşması yoluyla kod yürütülmesine yol açar.
X41 D-Sec, “Ayrıca, hizmet reddi durumlarına, sınır dışı okumalara veya yalnızca büyük girdilerde kötü şekilde ele alınan köşe durumlarına yol açabilecek çok sayıda tamsayı ile ilgili sorun belirlendi.”
CVE-2022-23521 için herhangi bir geçici çözüm bulunmamakla birlikte Git, kullanıcıların en son sürüme güncellemenin bir seçenek olmadığı senaryolarda CVE-2022-41903 için bir önlem olarak güvenilmeyen depolardaki “git arşivini” devre dışı bırakmasını önermektedir.
GitLab, koordineli bir danışma belgesinde, eksiklikleri gidermek için GitLab Community Edition (CE) ve Enterprise Edition (EE) için 15.7.5, 15.6.6 ve 15.5.9 sürümlerini yayınladığını söyledi ve müşterileri düzeltmeleri hemen uygulamaya çağırdı. Efekt.