A Git 2.40.1 ma megjelent, mivel három új biztonsági rést hoztak nyilvánosságra. A biztonsági javítások miatt Git-frissítések is elérhetők a korábbi stabil sorozatokhoz, v2.39.3, v2.38.5, v2.37.7, v2.36.6, v2.35.8, v2.34.8, v2.33.8, v2.32.7, v2.31.8 , és v2.30.9.
A ma nyilvánosságra hozott három Git biztonsági rés: CVE-2023-25652, CVE-2023-25815 és CVE-2023-29007. Ezek a sérülékenységek oda vezethetnek, hogy a Git munkafáján kívüli elérési út részben felügyelt tartalommal felülírható, kialakított üzenetek rosszindulatú elhelyezéséhez vezethetnek, ha a Git fordítási üzenetek nélkül épül fel, a harmadik biztonsági rés pedig tetszőleges konfigurációs injekcióval kapcsolatos.
* CVE-2023-25652:
A speciálisan kialakított bevitellel a `git apply–reject` parancshoz, a munkafán kívüli elérési út felülírható részben ellenőrzött tartalommal (megfelel az elutasított darab(ok) az adott javításból).
* CVE-2023-25815:
Amikor a Git futásidejű előtag támogatással van lefordítva, és lefordított üzenetek nélkül fut, továbbra is a gettext gépezetet használta az üzenetek megjelenítésére, amely később potenciálisan váratlan helyeken kereste a lefordított üzeneteket. Ez lehetővé tette a kialakított üzenetek rosszindulatú elhelyezését.
* CVE-2023-29007:
Amikor átnevez vagy töröl egy szakaszt egy konfigurációs fájlból, előfordulhat, hogy bizonyos rosszindulatú konfigurációs értékek tévesen értelmezhetők egy új konfigurációs szakasz kezdeteként, ami tetszőleges konfigurációs injekció.
Letöltések és további részletek a mai Git-frissítésekről a következő címen: a kiadási bejelentés.
