Git 2.40.1 is vandaag uitgebracht vanwege drie nieuwe beveiligingsproblemen die zijn onthuld. Vanwege die beveiligingsoplossingen zijn er ook Git-updates voor eerdere stabiele series met v2.39.3, v2.38.5, v2.37.7, v2.36.6, v2.35.8, v2.34.8, v2.33.8, v2.32.7, v2.31.8 , en v2.30.9.
De drie Git-beveiligingsproblemen die vandaag openbaar zijn gemaakt, zijn CVE-2023-25652, CVE-2023-25815 en CVE-2023-29007. Deze kwetsbaarheden kunnen ertoe leiden dat een pad buiten de Git-werkboom mogelijk wordt overschreven met gedeeltelijk gecontroleerde inhoud, de mogelijkheid van kwaadaardige plaatsing van vervaardigde berichten wanneer Git wordt gebouwd zonder vertaalde berichten, en de derde kwetsbaarheid betreft willekeurige configuratie-injectie.
* CVE-2023-25652:
Door speciaal vervaardigde invoer toe te voegen aan `git apply–reject`, kan een pad buiten de werkboom worden overschreven met gedeeltelijk gecontroleerde inhoud (overeenkomend met de afgewezen hunk(s) van de gegeven patch).
* CVE-2023-25815:
Als Git is gecompileerd met ondersteuning voor runtime-prefixen en draait zonder vertaalde berichten, gebruikte het nog steeds de gettext-machine om berichten weer te geven, die vervolgens mogelijk op onverwachte plaatsen naar vertaalde berichten zochten. Dit maakte het kwaadwillig plaatsen van vervaardigde berichten mogelijk.
* CVE-2023-29007:
Bij het hernoemen of verwijderen van een sectie uit een configuratiebestand, kunnen bepaalde kwaadaardige configuratiewaarden verkeerd geïnterpreteerd worden als het begin van een nieuwe configuratiesectie, wat leidt tot willekeurige configuratie-injectie.
Downloads en meer details over de grote reeks Git-updates van vandaag via de release-aankondiging.