Ngày 18 tháng 1 năm 2023Ravie LakshmananDevOpsSec / Bảo mật phần mềm
Những người duy trì hệ thống kiểm soát phiên bản mã nguồn Git đã phát hành các bản cập nhật để khắc phục hai lỗ hổng nghiêm trọng có thể bị kẻ xấu khai thác để thực thi mã từ xa.
Các sai sót, được theo dõi như CVE-2022-23521 và CVE-2022-41903ảnh hưởng đến các phiên bản Git sau: v2.30.6, v2.31.5, v2.32.4, v2.33.5, v2.34.5, v2.35.5, v2.36.3, v2.37.4, v2.38.2 và v2.39.0.
Các phiên bản vá bao gồm v2.30.7, v2.31.6, v2.32.5, v2.33.6, v2.34.6, v2.35.6, v2.36.4, v2.37.5, v2.38.3 và v2.39.1. Các nhà nghiên cứu bảo mật X41 D-Sec Markus Vervier và Eric Sesterhenn cũng như Joern Schneeweisz của GitLab đã được ghi nhận là người báo cáo lỗi.
“Vấn đề nghiêm trọng nhất được phát hiện cho phép kẻ tấn công kích hoạt hỏng bộ nhớ dựa trên heap trong quá trình sao chép hoặc kéo, điều này có thể dẫn đến việc thực thi mã”, công ty an ninh mạng của Đức cho biết về CVE-2022-23521.
CVE-2022-41903, cũng là một lỗ hổng nghiêm trọng, được kích hoạt trong quá trình vận hành kho lưu trữ, dẫn đến việc thực thi mã thông qua lỗ hổng tràn số nguyên phát sinh khi định dạng nhật ký cam kết.
“Ngoài ra, một số lượng lớn các vấn đề liên quan đến số nguyên đã được xác định có thể dẫn đến các tình huống từ chối dịch vụ, số lần đọc ngoài giới hạn hoặc đơn giản là các trường hợp góc được xử lý kém trên đầu vào lớn,” X41 D-Sec lưu ý.
Mặc dù không có cách giải quyết nào cho CVE-2022-23521, nhưng Git khuyến nghị người dùng nên tắt “git archive” trong các kho lưu trữ không đáng tin cậy như một biện pháp giảm thiểu cho CVE-2022-41903 trong các tình huống không thể cập nhật lên phiên bản mới nhất.
GitLab, trong một tư vấn phối hợp, cho biết họ đã phát hành các phiên bản 15.7.5, 15.6.6 và 15.5.9 cho GitLab Community Edition (CE) và Enterprise Edition (EE) để giải quyết các thiếu sót, khuyến khích khách hàng áp dụng các bản sửa lỗi ngay lập tức. hiệu ứng.