สำหรับผู้ใช้งาน Git ต้องติดตามช่องโหว่ล่าสุดนี้กับเพราะเป็นช่องโหว่ร้ายแรงที่นำไปสู่การลอบรันโค้ด

ช่องโหว่ 2 รายการที่ได้มีแพตช์แล้วคือ CVE-2022-41903 และ CVE-2022-23521 โดยมาจากปัญหาของ Heap Buffer Overflow ที่นำไปสู่การลอบรันโค้ดได้ ซึ่งช่องโหว่ที่ร้ายแรงที่สุดอาจเกิดขึ้นได้กับการ Clone หรือ Pull ในขณะที่อีกช่องโหว่อาจเกิดได้กับการ Archive ที่มักกระทำโดย Git forge สำหรับเวอร์ชันของแพตช์เป็นไปตารางด้านล่าง
Package | Affected versions | Patched versions |
git-for-windows | <=2.39.0(2) | >=2.39.1 |
git | <= v2.30.6, v2.31.5, v2.32.4, v2.33.5, v2.34.5, v2.35.5, v2.36.3, v2.37.4, v2.38.2, v2.39.0 | >= v2.30.7, v2.31.6, v2.32.5, v2.33.6, v2.34.6, v2.35.6, v2.36.4, v2.37.5, v2.38.3, v2.39.1 |
หากท่านใดยังไม่พร้อมทีมงานแนะนำให้ทำดังนี้
- ปิดการทำ ‘git archive’ หรือหลีกเลี่ยงการรันคำสั่งบนกับ Repository ที่ไม่น่าเชื่อถือ
- ปิดการเผยถึง ‘git archive’ ผ่าน git daemon หากต้องทำงานกับ Repository ที่ไม่น่าเชื่อถือ ด้วยคำสั่ง ‘git config –global daemon.uploadArch false’
นอกจากนี้ยังมีช่องโหว่อีกหนึ่งตัวคือ CVE-2022-41953 ที่กำลังรอแพตช์ออกมา โดยผู้ใช้สามารถป้องกันตัวเองได้โดยการไม่ใช้ Git GUI ไปทำการ clone repository จากแหล่งที่ไม่น่าเชื่อถือ