Se ha reportado un nuevo aviso de seguridad sobre tres vulnerabilidades que afectan a Git, que permitirían a un atacante no autenticado realizar ejecución de código arbitrario y provocar ataques de tipo heap-based buffer overflow en el sistema afectado.
Las vulnerabilidades reportadas se componen de 2 (dos) de severidad “Crítica” y 1 (una) de severidad “Alta”. Las mismas se detallan a continuación:
- CVE-2022-41903, de severidad “crítica” y con puntuación asignada de 9.8. Esta vulnerabilidad se debe a una falla de tipo heap-based buffer overflow en las funciones “git archive” y “git log –format”. Esto permitiría a un atacante realizar ejecución remota de código (RCE) en el sistema afectado.
- CVE-2022-23521, de severidad “crítica” y con puntuación asignada de 9.8. Esta vulnerabilidad se debe a una falla del tipo Integer overflows en el componente .gitattributes. Esto permitiría a un atacante realizar ejecución remota de código (RCE) en el sistema afectado.
- CVE-2022-41953, de severidad “alta” y con puntuación asignada de 8.6. Esta vulnerabilidad se debe a una falla de validación de datos de entrada en la función Git GUI Clone. Esto permitiría a un atacante realizar ejecución remota de código (RCE) a través de la clonación de repositorios en el sistema afectado.
Las versiones afectadas son:
- Git-for-windows, versión 2.39.0 (2) y anteriores.
- Git, versión 2.39.0 y anteriores.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante el siguiente enlace:
Referencias:
- https://www.bleepingcomputer.com/news/security/git-patches-two-critical-remote-code-execution-security-flaws/
- https://nvd.nist.gov/vuln/detail/CVE-2022-41903
- https://nvd.nist.gov/vuln/detail/CVE-2022-23521
- https://nvd.nist.gov/vuln/detail/CVE-2022-41953
- https://github.com/git/git/security/advisories/GHSA-475x-2q3q-hvwq
- https://github.com/git/git/security/advisories/GHSA-c738-c5qq-xg89
- https://github.com/git-for-windows/git/security/advisories/GHSA-v4px-mx59-w99c
- https://git-scm.com/downloads