Les responsables du système de contrôle de version du code source Git ont publié des mises à jour pour remédier à deux vulnérabilités critiques qui pourraient être exploitées par un acteur malveillant pour réaliser une exécution de code à distance.
Markus Vervier et Eric Sesterhenn, chercheurs en sécurité chez X41 D-Sec, ainsi que Joern Schneeweisz, de GitLab, ont été crédités pour avoir signalé les bogues.
« Le problème le plus grave découvert permet à un attaquant de déclencher une corruption de la mémoire basée sur le tas pendant les opérations de clonage ou de retrait, ce qui peut entraîner l’exécution de code », a déclaré l’entreprise allemande de cybersécurité à propos de la CVE-2022-23521.
CVE-2022-41903, également une vulnérabilité critique, est déclenchée lors d’une opération d’archivage, conduisant à l’exécution de code par le biais d’une faille de débordement d’entier qui survient lors du formatage des journaux de livraison.
Bien qu’il n’y ait pas de solution de contournement pour CVE-2022-23521, Git recommande aux utilisateurs de désactiver « Git archive » dans les dépôts non fiables pour atténuer CVE-2022-41903 dans les scénarios où la mise à jour vers la dernière version n’est pas une option.
GitLab, dans un avis coordonné, a déclaré avoir publié les versions 15.7.5, 15.6.6 et 15.5.9 pour GitLab Community Edition et Enterprise Edition afin de corriger les faiblesses, et a demandé aux clients d’appliquer les correctifs avec effet immédiat.