Git 2.40.1 est sorti aujourd’hui en raison de la divulgation de trois nouvelles vulnérabilités de sécurité. En raison de ces correctifs de sécurité, il existe également des mises à jour Git pour les séries stables précédentes avec v2.39.3, v2.38.5, v2.37.7, v2.36.6, v2.35.8, v2.34.8, v2.33.8, v2.32.7, v2.31.8 , et v2.30.9.
Les trois vulnérabilités de sécurité Git rendues publiques aujourd’hui sont CVE-2023-25652, CVE-2023-25815 et CVE-2023-29007. Ces vulnérabilités pourraient entraîner l’écrasement potentiel d’un chemin en dehors de l’arborescence de travail de Git avec un contenu partiellement contrôlé, la possibilité d’un placement malveillant de messages spécialement conçus lorsque Git est construit sans messages traduits, et la troisième vulnérabilité concerne l’injection de configuration arbitraire.
* CVE-2023-25652 :
En fournissant une entrée spécialement conçue à `git apply–reject`, un chemin en dehors de l’arborescence de travail peut être remplacé par un contenu partiellement contrôlé (correspondant à le(s) morceau(x) rejeté(s) du patch donné).
* CVE-2023-25815 :
Lorsque Git est compilé avec la prise en charge des préfixes d’exécution et s’exécute sans messages traduits, il utilise toujours la machinerie gettext pour afficher les messages, qui recherchent ensuite potentiellement des messages traduits dans des endroits inattendus. Cela permettait le placement malveillant de messages spécialement conçus.
* CVE-2023-29007 :
Lorsque vous renommez ou supprimez une section d’un fichier de configuration, certaines valeurs de configuration malveillantes peuvent être interprétées à tort comme le début d’une nouvelle section de configuration, ce qui entraîne injection de configuration arbitraire.
Téléchargements et plus de détails sur le grand ensemble de mises à jour Git d’aujourd’hui via l’annonce de sortie.