O Git 2.40.1 foi lançado hoje devido à divulgação de três novas vulnerabilidades de segurança. Devido a essas correções de segurança, também há atualizações do Git para séries estáveis anteriores com v2.39.3, v2.38.5, v2.37.7, v2.36.6, v2.35.8, v2.34.8, v2.33.8, v2.32.7, v2.31.8 , e v2.30.9.
As três vulnerabilidades de segurança do Git divulgadas hoje são CVE-2023-25652, CVE-2023-25815 e CVE-2023-29007. Essas vulnerabilidades podem fazer com que um caminho fora da árvore de trabalho do Git seja sobrescrito com conteúdo parcialmente controlado, a possibilidade de colocação maliciosa de mensagens criadas quando o Git é criado sem mensagens traduzidas e a terceira vulnerabilidade está relacionada à injeção de configuração arbitrária.
* CVE-2023-25652:
Ao alimentar uma entrada especialmente criada para `git apply–reject`, um caminho fora da árvore de trabalho pode ser sobrescrito com conteúdo parcialmente controlado (correspondente a o(s) pedaço(s) rejeitado(s) do patch fornecido).
* CVE-2023-25815:
Quando o Git é compilado com suporte a prefixos de tempo de execução e é executado sem mensagens traduzidas, ele ainda usa o maquinário gettext para exibir mensagens, que subsequentemente procuram mensagens traduzidas em locais inesperados. Isso permitia a colocação maliciosa de mensagens criadas.
* CVE-2023-29007:
Ao renomear ou excluir uma seção de um arquivo de configuração, certos valores de configuração maliciosos podem ser mal interpretados como o início de uma nova seção de configuração, levando a injeção de configuração arbitrária.
Downloads e mais detalhes sobre o grande conjunto atual de atualizações do Git via o anúncio de lançamento.