Git Uzaktan Kod Yürütme Saldırılarını Önlemek İçin Yeni Güncelleme Yayınladı

‍

GitLab güvenlik ekibinden Joern Schneeweisz tarafından güvenlik açıkları onaylandı. CVE-2022-23521 ve CVE-2022-41903 güvenlik açıklarının etkilediği sürümler   paylaşıldı.

v2.30.6 / v2.32.4 / v2.34.5 / v2.36.3 / v2.38.2 / v2.31.5 / v2.33.5 /    v2.35.5 / v2.37.4 / v2.39.0

Yapılan araştırmalarda CVE-2022-23521 zafiyetinin, tehdit aktörlerinin klonlama veya pull işlemleri sırasında yığın tabanlı bellek bozulmasını sağlayarak uzaktan kod ürütme işlemini gerçekleştirmesine neden olabileceği keşfedildi.

Yine CVE-2022-41903 kritik güvenlik açığının, arşiv işlemi sırasında ortaya çıkan integer overflow hatası nedeniyle saldırganın kod yürütmesini sağlayabileceği keşfedildi.

CVE-2022-23521 için güncelleme dışında herhangi bir geçici çözüm bulunmamakla birlikte Git, CVE-2022-41903 için güncellemenin mümkün olmadığı senaryolarda önlem olarak kullanıcıların güvenilmeyen depolardaki "git arşivini" devre dışı bırakmalarını önerdi.

Git tarafından paylaşılan güncel sürümler aşağıdaki gibidir.     

v2.30.7 / v2.32.5 / v2.34.6 / v2.36.4 / v2.38.3 / v2.31.6 / v2.33.6 /    v2.35.6 / v2.37.5 / v2.39.1

GitLab , güvenlik açıklarını gidermek için GitLab Community Edition (CE) ve Enterprise Edition (EE) için 15.7.5, 15.6.6 ve15.5.9 sürümlerini yayınladığını, müşterilerine mümkün olan en kısa sürede son sürüme güncellemeleri gerektiğini bildirdi.