由於披露了三個新的安全漏洞,Git 2.40.1 今天發布。由於這些安全修復,之前的穩定係列也有 Git 更新,包括 v2.39.3、v2.38.5、v2.37.7、v2.36.6、v2.35.8、v2.34.8、v2.33.8、v2.32.7、v2.31.8和 v2.30.9。
今天公開的三個 Git 安全漏洞是 CVE-2023-25652、CVE-2023-25815 和 CVE-2023-29007。這些漏洞可能導致 Git 工作樹之外的路徑可能被部分控制的內容覆蓋,當 Git 構建時沒有翻譯消息時可能惡意放置精心製作的消息,第三個漏洞是圍繞任意配置注入。
* CVE-2023-25652:
通過將特製輸入提供給 `git apply–reject`,工作樹之外的路徑可以被部分控制的內容覆蓋(對應於來自給定補丁的被拒絕的大塊頭)。
* CVE-2023-25815:
當 Git 使用運行時前綴支持進行編譯並且在沒有翻譯消息的情況下運行時,它仍然使用 gettext 機制來顯示消息,這隨後可能會在意想不到的地方尋找翻譯消息。這允許惡意放置精心製作的消息。
* CVE-2023-29007:
重命名或刪除配置文件中的某個部分時,某些惡意配置值可能會被誤解為新配置部分的開頭,從而導致任意配置注入。
通過 發佈公告。