Das mais falhas mais críticas, foram descobertas uma execução de código remota e acesso não autorizado a dados.
CVE-2024-32002: execução de código remota explorável no processamento de submódulos durante o processo de clonagem, na forma como o Git processava clones recursivos em filesystems com suporte a links simbólicos. Os repositórios com submódulos podiam ser usados fazendo com que o Git, erroneamente, escrevesse na pasta .git em vez do sítio do submódulo. Ora, um atacante desta forma escrevia um hook a ser executado durante a clonagem, e aí, os users não podiam ver o código.
Já o CVE-2024-32004 é respeitante à execução de código remota durante o clone de repositórios locais especialmente criados
Versões corrigidas
v2.45.1, v2.44.1, v2.43.4, v2.42.2, v2.41.1, v2.40.2, e v2.39.4
Workaround
Desativar o suporte para links simbólicos
Atualização do cliente git: https://git-scm.com/downloads
Advisory oficial: https://github.blog/2024-05-14-securing-git-addressing-5-new-vulnerabilities/
Comments