Die Betreiber des Versionskontrollsystems Git haben Updates veröffentlicht, um zwei kritische Schwachstellen zu beheben, die von einem böswilligen Akteur ausgenutzt werden können, um Remotecode auszuführen.
Die Schwachstellen mit den Bezeichnungen CVE-2022-23521 und CVE-2022-41903 betreffen die folgenden Versionen von Git: v2.30.6, v2.31.5, v2.32.4, v2.33.5, v2.34.5, v2.35.5, v2.36.3, v2.37.4, v2.38.2 und v2.39.0.
Gepatchte Versionen sind v2.30.7, v2.31.6, v2.32.5, v2.33.6, v2.34.6, v2.35.6, v2.36.4, v2.37.5, v2.38.3 und v2.39.1. Die X41 D-Sec Sicherheitsforscher Markus Vervier und Eric Sesterhenn sowie Jörn Schneeweisz von GitLab haben die Fehler gemeldet.
„Die schwerwiegendste entdeckte Schwachstelle ermöglicht es einem Angreifer, während Clone- oder Pull-Operationen eine Heap-basierte Speicherbeschädigung auszulösen, die zur Ausführung von Code führen kann“, so das deutsche Cybersicherheitsunternehmen zu CVE-2022-23521.
CVE-2022-41903, ebenfalls eine kritische Schwachstelle, wird während eines Archivierungsvorgangs ausgelöst und führt über einen Integer-Überlauf, der bei der Formatierung der Commit-Logs auftritt, zur Codeausführung.
„Darüber hinaus wurde eine große Anzahl von Integer-Problemen identifiziert, die zu Denial-of-Service-Situationen, Out-of-Bound-Reads oder einfach schlecht behandelten Eckfällen bei großen Eingaben führen können“, so X41 D-Sec.
Während es für CVE-2022-23521 keine Abhilfe gibt, empfiehlt Git seinen Nutzern, „git archive“ in nicht vertrauenswürdigen Repositories zu deaktivieren, um CVE-2022-41903 zu entschärfen, wenn ein Update auf die neueste Version nicht in Frage kommt.
GitLab hat in einem koordinierten Advisory die Versionen 15.7.5, 15.6.6 und 15.5.9 für die GitLab Community Edition (CE) und Enterprise Edition (EE) veröffentlicht, um die Schwachstellen zu beheben.