Git corrige dos fallas críticas de seguridad de ejecución remota de código
AS-007-2023
Fecha: 20/Ene/2023
Notificado por: Correo CTI FIRST- 20/01/2023
Resumen:
Git lanza parches para dos vulnerabilidades de seguridad de gravedad crítica que podrían permitir a los atacantes ejecutar código arbitrario después de explotar con éxito las debilidades de buffer overflow. Una tercera falla específica de Windows que afecta a la herramienta GUI de Git causada por una debilidad de ruta de búsqueda no confiable permite a los actores de amenazas no autenticados ejecutar ataques de baja complejidad.
Las dos primeras vulnerabilidades ( CVE-2022-41903 en el mecanismo de formato de confirmación y CVE-2022-23521 en el analizador .gitattributes) se parchearon el miércoles en nuevas versiones que se remontan a la v2.30.7.
El tercero, rastreado como CVE-2022-41953, todavía está esperando un parche, pero los usuarios pueden solucionar el problema al no usar el software Git GUI para clonar repositorios o evitar la clonación de fuentes no confiables.
Referencia: