Git 2.40.1 keluar hari ini karena tiga kerentanan keamanan baru diungkapkan. Karena perbaikan keamanan tersebut, ada juga pembaruan Git untuk seri stabil sebelumnya dengan v2.39.3, v2.38.5, v2.37.7, v2.36.6, v2.35.8, v2.34.8, v2.33.8, v2.32.7, v2.31.8 , dan v2.30.9.
Tiga kerentanan keamanan Git yang dipublikasikan hari ini adalah CVE-2023-25652, CVE-2023-25815, dan CVE-2023-29007. Kerentanan ini dapat mengarah ke jalur di luar pohon kerja Git yang berpotensi ditimpa dengan konten yang dikontrol sebagian, kemungkinan penempatan berbahaya dari pesan yang dibuat saat Git dibuat tanpa pesan yang diterjemahkan, dan kerentanan ketiga adalah seputar injeksi konfigurasi arbitrer.
* CVE-2023-25652:
Dengan memasukkan input yang dibuat secara khusus ke `git apply --reject`, jalur di luar pohon kerja dapat ditimpa dengan konten yang dikontrol sebagian (sesuai dengan bongkahan yang ditolak dari tambalan yang diberikan).
* CVE-2023-25815:
Ketika Git dikompilasi dengan dukungan awalan runtime dan berjalan tanpa pesan yang diterjemahkan, Git masih menggunakan mesin gettext untuk menampilkan pesan, yang kemudian berpotensi mencari pesan yang diterjemahkan di tempat yang tidak terduga. Ini memungkinkan penempatan berbahaya dari pesan yang dibuat.
* CVE-2023-29007:
Saat mengganti nama atau menghapus bagian dari file konfigurasi, nilai konfigurasi berbahaya tertentu dapat disalahartikan sebagai awal dari bagian konfigurasi baru, yang menyebabkan injeksi konfigurasi arbitrer.
Unduh dan perincian lebih lanjut tentang rangkaian besar pembaruan Git hari ini melalui pengumuman rilis.
Itulah berita seputar Git 2.40.1 & Pembaruan Lainnya Karena Tiga Kerentanan Keamanan Baru, semoga bermanfaat. Disadur dari Phoronix.com.Artikel Diperbarui pada: April 25, 2023
Kontributor: Syauqi Wiryahasana
Model: Haifa Manik Intani
