Разработчики Git и различные компании, предоставляющие хостинг для Git-репозиториев, выпустили обновления для клиентов и серверов (Git v2.17.1, v2.13.7, v2.14.4, v2.15.2 и v2.16.4), исправляющие сразу две опасные уязвимости: CVE-2018-11235 и CVE-2018-11233.
Наиболее серьезным из двух багов является CVE-2018-11235. Проблема связана с именами сабмодулей и рекурсивным клонированием репозиториев. Она позволяет злоумышленнику создать вредоносный репозиторий, содержащий специальный сабмодуль. Как только пользователь клонирует данный репозиторий, из-за вредоносного сабмодуля атакующий получит возможность выполнить произвольный код в пользовательской системе.
Баг был обнаружен Этьеном Сталмансом (Etienne Stalmans), однако подробнее всего об уязвимости рассказали специалисты Microsoft Visual Studio Team Services.
Вторая проблема, CVE-2018-11233, представляет меньшую опасность и описывается как баг в обработке путей при использовании файловой системы NTFS. Уязвимость позволяет извлекать из памяти содержимое, относящееся к процессу Git.
Теперь специалисты призывают пользователей обновить свои Git-клиенты. Эксперты Microsoft даже опубликовали на этот счет отдельные и подробные инструкции.
