Git 2.38.1 lançado com correções para duas falhas de segurança

E foi lançado o Git 2.38.1 com correções para duas falhas de segurança, e muito mais. Confira as novidades e veja como instalar no Linux.

Um sistema de controle de versão permite organizar o ciclo de desenvolvimento de um aplicativo em geral. De todos eles, o Git é um dos mais populares e tem o melhor suporte dos desenvolvedores.

O Git é um dos sistemas de controle de versão mais populares, confiáveis ​​e de alto desempenho, além de fornecer ferramentas de desenvolvimento não-linear baseadas em mesclagem e versões flexíveis.

Para garantir a integridade do histórico e a resistência a alterações retrospectivas, o hash implícito de todo o histórico anterior é usado em cada confirmação, e as assinaturas digitais de desenvolvedores e confirmações individuais de tags também podem ser verificadas.

Agora, o Git 2.38.1 foi lançado como a atualização de recurso mais recente desse sistema de controle de revisão distribuído amplamente usado.

Novidades do Git 2.38.1

Git 2.38.1 lançado com correções para duas falhas de segurança
Git 2.38.1 lançado com correções para duas falhas de segurança

Sim. O Git 2.38.1 acaba de ser lançado junto com atualizações para versões mais antigas, incluindo os novos lançamentos pontuais de v2.30.6, v2.31.5, v2.32.4, v2.33.5, v2.34.5, v2.35.5, v2.36.3 e v2 .37.4.

O grande conjunto de atualizações do Git hoje se deve a mais dois problemas de segurança que vieram à tona.

As vulnerabilidades mais recentes do Git são CVE-2022-39253 e CVE-2022-39260.

O primeiro diz respeito à otimização do clone “--local” que leva a possíveis arquivos arbitrários que aparecem em $GIT_DIR ao clonar de um repositório malicioso.

A outra vulnerabilidade é sobre strings de comando excessivamente longas passadas para o subcomando git shell que podem levar a gravações de heap arbitrárias e execução remota de código.

Esses dois CVEs são resumidos no anúncio de lançamento do Git 2.38.1 como:
CVE-2022-39253:
Ao confiar na otimização de clone `–local`, o Git desreferencia links simbólicos no repositório de origem antes de criar hardlinks (ou cópias) do link desreferenciado no repositório de destino. Isso pode levar a um comportamento surpreendente onde arquivos arbitrários estão presentes no `$GIT_DIR` de um repositório ao clonar de um repositório malicioso.

O Git não desreferenciará mais links simbólicos através do mecanismo de clonagem `–local` e, em vez disso, se recusará a clonar repositórios que tenham links simbólicos presentes no diretório `$GIT_DIR/objects`.

Além disso, o valor de `protocol.file.allow` é alterado para “usuário” por padrão.

CVE-2022-39260:
Uma string de comando excessivamente longa dada ao `git shell` pode resultar em estouro em `split_cmdline()`, levando a gravações de heap arbitrárias e execução remota de código quando o `git shell` é exposto e o diretório `$HOME/git-shell- comandos` existe.

O `git shell` é ensinado a recusar comandos interativos com mais de 4 MiB de tamanho. `split_cmdline()` é reforçado para rejeitar entradas maiores que 2GiB.

Mais detalhes sobre o Git 2.38.1 leia o anúncio de lançamento.

Como instalar ou atualizar o Git

Se você deseja atualizar ou instalar esta ferramenta, precisamos apenas abrir um terminal em nosso sistema e digitar um dos seguintes comandos.
Debian/Ubuntu
sudo apt-get install git

Fedora
sudo dnf install git

Gentoo
emerge --ask --verbose dev-vcs/git

Arch Linux
sudo pacman -S git

openSUSE
sudo zypper install git

Mageia
sudo urpmi git

Alpine
sudo apk add git

Ou

Para instalar a versão mais recente do Git nas principais distribuições Linux, use esse tutorial:
Como instalar a última versão do Git no Debian ou Ubuntu
Como instalar a versão mais recente do GIT no CentOS, RHEL e derivados

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.