Git 2.40.1 đã ra mắt hôm nay do ba lỗ hổng bảo mật mới được tiết lộ. Do các bản sửa lỗi bảo mật đó, cũng có các bản cập nhật Git cho loạt ổn định trước đó với v2.39.3, v2.38.5, v2.37.7, v2.36.6, v2.35.8, v2.34.8, v2.33.8, v2.32.7, v2.31.8 và v2.30.9.
Ba lỗ hổng bảo mật Git được công khai hôm nay là CVE-2023-25652, CVE-2023-25815 và CVE-2023-29007. Các lỗ hổng này có thể dẫn đến một đường dẫn bên ngoài cây làm việc của Git có khả năng bị ghi đè bằng nội dung được kiểm soát một phần, khả năng đặt các thông báo thủ công một cách độc hại khi Git được xây dựng mà không có thông báo đã dịch và lỗ hổng thứ ba là xung quanh việc chèn cấu hình tùy ý.
* CVE-2023-25652:
Bằng cách cung cấp đầu vào được chế tạo đặc biệt cho `git apply–reject`, một đường dẫn bên ngoài cây đang hoạt động có thể được ghi đè bằng nội dung được kiểm soát một phần (tương ứng với (các) đoạn bị từ chối từ bản vá đã cho).
* CVE-2023-25815:
Khi Git được biên dịch với hỗ trợ tiền tố thời gian chạy và chạy mà không có thông báo đã dịch, nó vẫn sử dụng cơ chế gettext để hiển thị thông báo, sau đó có khả năng tìm kiếm thông báo đã dịch ở những nơi không mong muốn. Điều này cho phép vị trí độc hại của các tin nhắn được tạo thủ công.
* CVE-2023-29007:
Khi đổi tên hoặc xóa một phần khỏi tệp cấu hình, một số giá trị cấu hình độc hại nhất định có thể bị hiểu sai là phần đầu của phần cấu hình mới, dẫn đến tiêm cấu hình tùy ý.
Tải xuống và biết thêm chi tiết về bộ cập nhật Git lớn hiện nay qua thông báo phát hành.
