O Git 2.35.2 acaba de sair junto com atualizações de séries anteriores na forma de Git 2.34.2, 2.33.2, 2.32.1, 2.31.2 e 2.30.3 devido a um novo problema de segurança. Sendo assim, o Git recebe atualização por causa de uma falha potencialmente desagradável no Windows. Sendo assim, o Git recebe atualização importante por causa de uma falha potencialmente desagradável no Windows.
Embora essa vulnerabilidade CVE-2022-24765 seja suficiente para emitir atualizações para todas as versões com suporte no modo de manutenção, o problema provavelmente afetará apenas o Microsoft Windows devido à hierarquia do sistema de arquivos e permissões de pasta.
Em última análise, para sistemas Windows multiusuário, tudo se resume à possibilidade de execução de código arbitrário como o usuário em execução para esse código arbitrário definido por outros usuários no sistema.
A última versão de manutenção Git v2.35.2, juntamente com as versões para faixas de manutenção mais antigas v2.30.3, v2.31.2, v2.32.1, v2.33.2 e v2.34.2, já estão disponíveis nos locais habituais. Essas versões de manutenção são para resolver os problemas de segurança descrito em CVE-2022-24765. Por favor, atualize o quanto antes oportunidade.
Git recebe atualização por causa de uma falha potencialmente desagradável no Windows
Embora o CVE-2022-24765 completo ainda não tenha sido divulgado, ele está bem definido no anúncio do Git. Em máquinas multiusuário, usuários Git podem se encontrar inesperadamente em uma árvore de trabalho Git, por exemplo, quando outro usuário criou um repositório em `C:\.git`, em uma unidade de rede montada ou em um espaço temporário.
Apenas ter um prompt com reconhecimento do Git que executa o `git status` (ou `git diff`) e navegar para um diretório que supostamente não é uma árvore de trabalho do Git, ou abrir esse diretório em um editor ou IDE como VS Code ou Atom, potencialmente executará comandos definidos por esse outro usuário.
Em máquinas multiusuário, os usuários do Git podem se encontrar inesperadamente em uma árvore de trabalho Git, por exemplo, quando outro usuário criou um repositório em
C:\.git
, em uma unidade de rede montada ou em um espaço de rascunho.Apenas ter um prompt compatível com Git que executa
git status
(ougit diff
) e navegando para um diretório que é supostamente não é uma árvore de trabalho Git, ou abrir tal diretório em um editor ou IDE, como VS Code ou Atom, potencialmente será executado comandos definidos por esse outro usuário.
Assim, se você estiver em um ambiente Windows multiusuário, pegue as últimas versões de ponto do Git. O CVE-2022-24765 é a única mudança observada com o anúncio de agora.
Via Phoronix