Git lança atualizações para corrigir duas vulnerabilidades críticas

git-lanca-atualizacoes-para-corrigir-duas-vulnerabilidades-criticas

As falhas críticas atingem os mais variados sistemas e dispositivos. Vemos constantemente o lançamento de atualizações para corrigir essas vulnerabilidades. Agora, por exemplo, os mantenedores do sistema de controle de versão do código-fonte Git lançaram atualizações para corrigir duas falhas críticas. Se exploradas por um ator mal-intencionado, essas falhas podem dar acesso a execução remota do código.

As vulnerabilidades foram rastreadas como CVE-2022-23521 e CVE-2022-41903. Elas afetam as seguintes versões do Git: v2.30.6, v2.31.5, v2.32.4, v2.33.5, v2.34.5, v2.35.5, v2. 36.3, v2.37.4, v2.38.2 e v2.39.0.

Git: lançamento de atualizações para corrigir falhas críticas

As versões corrigidas com essas atualizações lançadas pelo Git incluem v2.30.7, v2.31.6, v2.32.5, v2.33.6, v2.34.6, v2.35.6, v2.36.4, v2.37.5, v2.38.3 e v2.39.1. Os pesquisadores de segurança do X41 D-Sec, Markus Vervier e Eric Sesterhenn, bem como Joern Schneeweisz, do GitLab, receberam o crédito por relatar os bugs.

git-lanca-atualizacoes-para-corrigir-duas-vulnerabilidades-criticas

De acordo com a empresa, a falha rastreada como CVE-2022-23521 é a mais grave:

O problema mais grave descoberto permite que um invasor acione uma corrupção de memória baseada em heap durante operações de clone ou pull, o que pode resultar na execução de código.

A CVE-2022-41903, também uma vulnerabilidade crítica, é acionada durante uma operação de arquivamento, levando à execução de código por meio de uma falha de estouro de número inteiro que surge durante a formatação dos logs de confirmação. “Além disso, foi identificado um grande número de problemas relacionados a números inteiros que podem levar a situações de negação de serviço, leituras fora do limite ou simplesmente casos de canto mal tratados em entradas grandes”, observou o X41 D-Sec.

Solução alternativa

Embora não haja soluções alternativas para CVE-2022-23521, o Git recomenda que os usuários desabilitem o “git archive” em repositórios não confiáveis ??como uma mitigação para CVE-2022-41903 em cenários em que a atualização para a versão mais recente não é uma opção.

O GitLab, em um comunicado coordenado, disse que lançou as versões 15.7.5, 15.6.6 e 15.5.9 para GitLab Community Edition (CE) e Enterprise Edition (EE) para solucionar as deficiências, instando os clientes a aplicar as correções com urgência.

Se você ainda não executou as atualizações ainda, recomendamos que o faça agora mesmo, para que essas falhas críticas não sejam exploradas por agentes mal-intencionados.

Esperamos que essas atualizações não tragam novos problemas e vulnerabilidades. Além disso, esperamos que a empresa mantenha o Git longe de falhas. Lembre-se de mantê-lo sempre atualizado, para que as falhas não permitam que problemas maiores cheguem até você.