Les mainteneurs du système de contrôle de version du code source Git ont publié des mises à jour pour corriger deux vulnérabilités critiques qui pourraient être exploitées par un acteur malveillant pour réaliser l’exécution de code à distance.

Les failles, suivies comme CVE-2022-23521 et CVE-2022-41903, affectent les versions suivantes de Git : v2.30.6, v2.31.5, v2.32.4, v2.33.5, v2.34.5, v2.35.5, v2. 36.3, v2.37.4, v2.38.2 et v2.39.0.

Les versions corrigées incluent v2.30.7, v2.31.6, v2.32.5, v2.33.6, v2.34.6, v2.35.6, v2.36.4, v2.37.5, v2.38.3 et v2.39.1. Les chercheurs en sécurité X41 D-Sec Markus Vervier et Eric Sesterhenn ainsi que Joern Schneeweisz de GitLab ont été crédités d’avoir signalé les bogues.

« Le problème le plus grave découvert permet à un attaquant de déclencher une corruption de mémoire basée sur le tas lors d’opérations de clonage ou d’extraction, ce qui peut entraîner l’exécution de code », a déclaré la société allemande de cybersécurité à propos de CVE-2022-23521.

CVE-2022-41903, également une vulnérabilité critique, est déclenchée lors d’une opération d’archivage, entraînant l’exécution de code via une faille de débordement d’entier qui survient lors du formatage des journaux de validation.

« En outre, un grand nombre de problèmes liés aux nombres entiers ont été identifiés, ce qui peut entraîner des situations de déni de service, des lectures hors limites ou simplement des cas d’angle mal gérés sur des entrées volumineuses », a noté X41 D-Sec.

Bien qu’il n’y ait pas de solution de contournement pour CVE-2022-23521, Git recommande aux utilisateurs de désactiver « git archive » dans les référentiels non approuvés comme atténuation pour CVE-2022-41903 dans les scénarios où la mise à jour vers la dernière version n’est pas une option.

GitLab, dans un avis coordonné, a déclaré avoir publié les versions 15.7.5, 15.6.6 et 15.5.9 pour GitLab Community Edition (CE) et Enterprise Edition (EE) pour remédier aux lacunes, exhortant les clients à appliquer les correctifs immédiatement. effet.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *