Состоялся релиз внепланового обновления Git 2.40.1 из-за раскр | Умный программист
Состоялся релиз внепланового обновления Git 2.40.1 из-за раскрытия пяти уязвимостей в системе. Вместе с этим обновили и предыдущие стабильные версии Git.
Исправленные уязвимости:
- CVE-2023-29007 — позволяла использовать подстановку настроек в конфигурационном файле $GIT_DIR/config. Уязвимость можно было использовать для выполнения кода через указание путей к файлам в core.pager, core.editor и core.sshCommand;
- CVE-2023-25652 — позволяла с помощью команды git apply --reject перезаписывать файлы вне рабочего дерева.