พบช่องโหว่ร้ายแรง 2 รายการบน Git แนะผู้ใช้เร่งอัปเดต

สำหรับผู้ใช้งาน Git ต้องติดตามช่องโหว่ล่าสุดนี้กับเพราะเป็นช่องโหว่ร้ายแรงที่นำไปสู่การลอบรันโค้ด

ช่องโหว่ 2 รายการที่ได้มีแพตช์แล้วคือ CVE-2022-41903 และ CVE-2022-23521 โดยมาจากปัญหาของ Heap Buffer Overflow ที่นำไปสู่การลอบรันโค้ดได้ ซึ่งช่องโหว่ที่ร้ายแรงที่สุดอาจเกิดขึ้นได้กับการ Clone หรือ Pull ในขณะที่อีกช่องโหว่อาจเกิดได้กับการ Archive ที่มักกระทำโดย Git forge สำหรับเวอร์ชันของแพตช์เป็นไปตารางด้านล่าง

Package	Affected versions	Patched versions
git-for-windows	<=2.39.0(2)	>=2.39.1
git	<= v2.30.6, v2.31.5, v2.32.4, v2.33.5, v2.34.5, v2.35.5, v2.36.3, v2.37.4, v2.38.2, v2.39.0	>= v2.30.7, v2.31.6, v2.32.5, v2.33.6, v2.34.6, v2.35.6, v2.36.4, v2.37.5, v2.38.3, v2.39.1

หากท่านใดยังไม่พร้อมทีมงานแนะนำให้ทำดังนี้

• ปิดการทำ ‘git archive’ หรือหลีกเลี่ยงการรันคำสั่งบนกับ Repository ที่ไม่น่าเชื่อถือ
• ปิดการเผยถึง ‘git archive’ ผ่าน git daemon หากต้องทำงานกับ Repository ที่ไม่น่าเชื่อถือ ด้วยคำสั่ง ‘git config –global daemon.uploadArch false’

นอกจากนี้ยังมีช่องโหว่อีกหนึ่งตัวคือ CVE-2022-41953 ที่กำลังรอแพตช์ออกมา โดยผู้ใช้สามารถป้องกันตัวเองได้โดยการไม่ใช้ Git GUI ไปทำการ clone repository จากแหล่งที่ไม่น่าเชื่อถือ

ที่มา : https://www.bleepingcomputer.com/news/security/git-patches-two-critical-remote-code-execution-security-flaws/