Git 2.40.1 è uscito oggi a causa della divulgazione di tre nuove vulnerabilità di sicurezza. A causa di queste correzioni di sicurezza, ci sono anche aggiornamenti Git per le precedenti serie stabili con v2.39.3, v2.38.5, v2.37.7, v2.36.6, v2.35.8, v2.34.8, v2.33.8, v2.32.7, v2.31.8 e v2.30.9.
Le tre vulnerabilità di sicurezza di Git rese pubbliche oggi sono CVE-2023-25652, CVE-2023-25815 e CVE-2023-29007. Queste vulnerabilità potrebbero portare a un percorso al di fuori dell’albero di lavoro di Git potenzialmente sovrascritto con contenuti parzialmente controllati, la possibilità di posizionamento dannoso di messaggi creati quando Git viene creato senza messaggi tradotti e la terza vulnerabilità riguarda l’iniezione di configurazione arbitraria.
* CVE-2023-25652:
Fornendo un input appositamente predisposto a `git apply–reject`, un percorso al di fuori dell’albero di lavoro può essere sovrascritto con contenuti parzialmente controllati (corrispondenti a il/i pezzo/i rifiutato/i dalla patch fornita).
* CVE-2023-25815:
Quando Git è compilato con il supporto del prefisso di runtime e viene eseguito senza messaggi tradotti, utilizzava ancora il macchinario gettext per visualizzare i messaggi, che successivamente cercavano potenzialmente messaggi tradotti in luoghi inaspettati. Ciò ha consentito il posizionamento dannoso di messaggi creati.
* CVE-2023-29007:
Quando si rinomina o si elimina una sezione da un file di configurazione, alcuni valori di configurazione dannosi possono essere interpretati erroneamente come l’inizio di una nuova sezione di configurazione, portando a iniezione di configurazione arbitraria.
Download e ulteriori dettagli sul grande set di aggiornamenti Git di oggi tramite l’annuncio di rilascio.
