Git 2.38.1, junto con los lanzamientos de las versiones 2.30.6, 2.31.5, 2.32.4, 2.33.5, 2.34.5, 2.35.5, 2.36.3 y 2.37.4, están disponibles para su descarga desde ayer 18 de octubre de 2022. Los lanzamientos corrigen dos importantes vulnerabilidades: CVE-2022-39253 y CVE-2022-39260.

Se recomienda a los usuarios de Git actualizar a la brevedad posible a la versión 2.38.1 o cualquiera de las versiones que aún reciben mantenimiento.

Usuarios de ALDOS pueden actualizar a la versión 2.38.1 ejecutando lo siguiente:

yum -y update git

Usuarios de Fedora, CentOS Stream, Alma Linux, Rocky Linux, etc.:

dnf -y update git

Usuarios de Debian y Ubuntu:

apt-get update git

¿En qué consiste CVE-2022-39253?

Cuando se confía en la optimización de clones --local, Git elimina las referencias de los enlaces simbólicos en el repositorio de origen antes de crear enlaces físicos (o copias) del enlace sin referencia en el repositorio de destino. Ésto puede llevar a un comportamiento sorprendente donde hay archivos arbitrarios presentes en $GIT_DIR de un repositorio cuando se clona desde un repositorio malicioso.

¿Cómo se corregirá CVE-2022-39253?

Git dejará de eliminar las referencias de los enlaces simbólicos a través del mecanismo de clonación --local y en su lugar se negará a clonar repositorios que tengan enlaces simbólicos presentes en el directorio $GIT_DIR/objects.

Además, el valor de protocol.file.allow se cambia a «usuario» de forma predeterminada.

¿En qué consiste CVE-2022-39260?

Una cadena de ordenes demasiado larga dada a git shell puede resultar en un desbordamiento en split_cmdline(), lo que lleva a escrituras de montón arbitrarias y ejecución remota de código cuando se expone git shell y el directorio $HOME/git-shell- comandos existe.

¿Cómo se corregirá CVE-2022-39260?

En adelante git shell a rechazará ordenes interactivas que tengan más de 4MiB de tamaño. split_cmdline() y se fortalece para rechazar entradas de más de 2GiB.

Fuente: Phoronix.