bakımını yapanlar git kaynak kodu sürüm kontrol sistemi, kötü niyetli bir aktörün uzaktan kod yürütmeyi başarmak için yararlanabileceği iki kritik güvenlik açığını gidermek için güncellemeler yayınladı.
İzlenen kusurlar CVE-2022-23521 ve CVE-2022-41903şu Git sürümlerini etkiler: v2.30.6, v2.31.5, v2.32.4, v2.33.5, v2.34.5, v2.35.5, v2.36.3, v2.37.4, v2.38.2 ve v2.39.0.
Yamalı sürümler arasında v2.30.7, v2.31.6, v2.32.5, v2.33.6, v2.34.6, v2.35.6, v2.36.4, v2.37.5, v2.38.3 ve v2.39.1 bulunur. X41 D-Sec güvenlik araştırmacıları Markus Vervier ve Eric Sesterhenn’in yanı sıra GitLab’dan Joern Schneeweisz’in hataları bildirdiği kabul edildi.
Alman siber güvenlik şirketi, “Keşfedilen en ciddi sorun, bir saldırganın klonlama veya çekme işlemleri sırasında yığın tabanlı bir bellek bozulmasını tetiklemesine izin veriyor ve bu da kod yürütülmesine neden olabilir.” dedim CVE-2022-23521.
Yine kritik bir güvenlik açığı olan CVE-2022-41903, bir arşiv işlemi sırasında tetiklenir ve taahhüt günlüklerini biçimlendirirken ortaya çıkan bir tamsayı taşması yoluyla kod yürütülmesine yol açar.
X41 D-Sec, “Ayrıca, hizmet reddi durumlarına, sınır dışı okumalara veya yalnızca büyük girdilerde kötü şekilde ele alınan köşe vakalarına yol açabilecek çok sayıda tamsayı ile ilgili sorun belirlendi.”
CVE-2022-23521 için herhangi bir geçici çözüm bulunmamakla birlikte Git, kullanıcıların en son sürüme güncellemenin bir seçenek olmadığı senaryolarda CVE-2022-41903 için bir önlem olarak güvenilmeyen depolardaki “git arşivini” devre dışı bırakmasını önermektedir.
GitLab, koordineli bir danışma belgesinde, dedim eksiklikleri gidermek için GitLab Community Edition (CE) ve Enterprise Edition (EE) için 15.7.5, 15.6.6 ve 15.5.9 sürümlerini yayınladı ve müşterileri düzeltmeleri anında uygulamaya çağırdı.
