Git, saldırganların sistem üzerinde rasgele kod yürütmesine izin verebilecek iki kritik önem dereceli güvenlik açığını yamaladı.
İlk iki güvenlik açığı ( CVE-2022-41903 ve CVE-2022-23521), v2.30.7’ye çarşamba günü yamalandı. CVE-2022-41953 olarak izlenen üçüncüsü zafiyet ise henüz yamalanmadı, ancak kullanıcılar depoları klonlamak veya güvenilmeyen kaynaklardan klonlamayı önleyerek mitigate uygulayabilir.
Package | Affected versions | Patched versions |
git-for-windows | <=2.39.0(2) | >=2.39.1 |
git | <= v2.30.6, v2.31.5, v2.32.4, v2.33.5, v2.34.5, v2.35.5, v2.36.3, v2.37.4, v2.38.2, v2.39.0 | >= v2.30.7, v2.31.6, v2.32.5, v2.33.6, v2.34.6, v2.35.6, v2.36.4, v2.37.5, v2.38.3, v2.39.1 |
Zafiyetlerden etkilenmemek için Git’in en son sürümüne (v2.39.1) yükseltme önerilmekte ancak güncellemeleri hemen yükleyemen kullanıcılar için aşağıdaki adımlar önerilmeke.
Güvenilmeyen depolar için “git archive” komutunu kullanmayınız.
“git config –global daemon.uploadArch false” komutu ile güvenilmeyen depoları devre dışı bırakın.
Kaynak: bleepingcomputer.com