![git](https://sp-ao.shortpixel.ai/client/to_webp,q_glossy,ret_img/https://www.cert.gov.py/wp-content/uploads/2023/01/git.jpeg)
Se ha reportado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a Git y Git for windows, que permitirían a un atacante comprometer datos confidenciales del usuario, realizar ejecución arbitraria de código, entre otros. Actualmente para la vulnerabilidad CVE-2023-29007, existe prueba de concepto (PoC) pública.
Las vulnerabilidades reportadas se componen de 4 (cuatro) de severidad “Alta” y 1 (una) de severidad “Baja”. Las principales se detallan a continuación:
- CVE-2023-25652, de severidad “Alta” y con puntuación asignada de 7.5. Esta vulnerabilidad del tipo path traversal se debe a una falla de seguridad en el control de datos de entrada en Git. Esto permitiría a un atacante a través de entradas especialmente diseñadas para el comando git apply –reject, sobreescribir en un directorio fuera del árbol de trabajo con contenido parcialmente controlado.
- CVE-2023-29007, de severidad “Alta” y con puntuación asignada de 7.0. Esta vulnerabilidad de inyección arbitraria de configuración se debe a una falla en la función responsable de cambiar el nombre o eliminar las secciones de configuración de Git. Esto permitiría a un atacante a través de un archivo del tipo .gitmodules especialmente diseñado con una URL de submódulos que contiene más de 1024 caracteres enviadas al archivo config.c::git_config_copy_or_rename_section_in_file(), realizar ejecución remota de código (RCE) en víctimas que interactúen con el repositorio atacado.
Para acceder al listado completo de vulnerabilidades ingrese aquí.
Las versiones afectadas son:
- Git-for-windows, versión 2.40.0 y anteriores.
- Git, versiones 2.30.8, 2.31.7, 2.32.6, 2.33.7, 2.34.7, 2.35.7, 2.36.5, 2.37.6, 2.38.4, 2.39.2, 2.40.0 y anteriores.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante los siguientes enlaces:
Referencias:
- https://securityonline.info/cve-2023-29007-git-users-beware-of-arbitrary-configuration-injection-vulnerability/
- https://github.blog/2023-04-25-git-security-vulnerabilities-announced-4/
- https://nvd.nist.gov/vuln/detail/CVE-2023-29007
- https://nvd.nist.gov/vuln/detail/CVE-2023-25652
- https://mirrors.edge.kernel.org/pub/software/scm/git/
- https://github.com/git-for-windows/git/releases/tag/v2.40.1.windows.1