14 мая 2024 года вышла новая версия Git — v2.45.1, устраняющая сразу пять уязвимостей безопасности. Это обновление затрагивает все основные платформы: Windows, macOS, Linux и BSD.
В GitHub Desktop и Visual Studio, которые включают компоненты Git, также выпущены соответствующие обновления. Исправленные уязвимости включают:
• CVE-2024-32002 (оценка CVSS 9.1). Репозитории с подмодулями могут заставить Git выполнять команды из директории «.git/» во время клонирования, что может привести к удалённому выполнению кода.
• CVE-2024-32004 (оценка CVSS 8.2). Злоумышленник может создать локальный репозиторий и использовать его для выполнения произвольного кода при клонировании.
• CVE-2024-32465 (оценка CVSS 7.4). Клонирование из ZIP-файлов, содержащих Git-репозитории, может обойти существующие защиты, потенциально выполняя небезопасные скрипты.
• CVE-2024-32020 (оценка CVSS 3.9). Локальные клоны на одном диске могут позволить недоверенным пользователям изменять файлы в базе данных объектов клонированного репозитория.
• CVE-2024-32021 (оценка CVSS 3.9). Клонирование локального репозитория с символическими ссылками может привести к созданию жёстких ссылок на произвольные файлы в директории «objects/».
Мы в VK: https://vk.com/darkwebex
