Los desarrolladores del sistema de control de versiones del código fuente de Git han publicado actualizaciones para solventar dos vulnerabilidades concideradas muy críticas que podrían ser explotadas por un actor malicioso para lograr la ejecución remota del código.
Las fallas, se encuentran con el código CVE-2022-23521 y CVE-2022-41903, y afectan las siguientes versiones de Git: v2.30.6, v2.31.5, v2.32.4, v2.33.5, v2.34.5, v2.35.5, v2. 36.3, v2.37.4, v2.38.2 y v2.39.0.
Las versiones parcheadas incluyen v2.30.7, v2.31.6, v2.32.5, v2.33.6, v2.34.6, v2.35.6, v2.36.4, v2.37.5, v2.38.3 y v2.39.1.
La vulnerabilidad más crítica se la lleva CVE-2022-23521, que permite a un atacante desencadene una corrupción de memoria durante las operaciones de clonación o extracción, lo que podría resultar en la ejecución de código.
Mientras que CVE-2022-41903, también es crítica, se activa durante una operación de archivo, lo que lleva a la ejecución del código a través de una falla de desbordamiento de enteros que surge al formatear los registros de confirmación.
«Además, se identificó una gran cantidad de problemas relacionados con números enteros que pueden conducir a situaciones de denegación de servicio, lecturas fuera de límite o simplemente casos de esquina mal manejados en entradas grandes», señaló X41 D-Sec.
Si bien no hay soluciones para CVE-2022-23521, Git recomienda que los usuarios deshabiliten «git archive» en repositorios que no son de confianza como una mitigación para CVE-2022-41903 en escenarios donde la actualización a la última versión no es una opción.
GitLab, en un aviso coordinado, dijo que lanzó las versiones 15.7.5, 15.6.6 y 15.5.9 para GitLab Community Edition (CE) y Enterprise Edition (EE) para abordar las deficiencias, instando a los clientes a aplicar las correcciones de inmediato. efecto.