Git patches two critical remote code execution security flaws
Git ได้ทำการอัปเดตแพตช์เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical ถึง 2 รายการคือ CVE-2022-41903 และ CVE-2022-23521 ซึ่งอาจทำให้ผู้โจมตีสามารถรันโค้ดตามอำเภอใจได้หลังจากประสบความสำเร็จในการใช้ประโยชน์จาก heap-based buffer overflow และช่องโหว่ CVE-2022-41953 ที่ส่งผลกระทบต่อเครื่องมือ Git GUI 1
โดยช่องโหว่ 2 รายการแรกคือ CVE-2022-41903 และ CVE-2022-23521 ได้รับการแก้ไขแล้วใน Git เวอร์ชันใหม่ ส่วนที่ช่องโหว่ CVE-2022-41953 ยังไม่ได้รับการแก้ไข แต่ผู้ใช้สามารถแก้ไขปัญหาได้โดยไม่ใช้ซอฟต์แวร์ Git GUI เพื่อโคลนที่เก็บหรือหลีกเลี่ยงการโคลนจากแหล่งที่ไม่น่าเชื่อถือ ผู้เชี่ยวชาญด้านความปลอดภัยจาก X41 และ GitLab พบว่าช่องโหว่เหล่านี้เป็นส่วนหนึ่งของการตรวจสอบซอร์สโค้ดด้านความปลอดภัยของ Git ซึ่งสนับสนุนโดย OSTIF โดยปัญหาที่พบทำให้ผู้โจมตีสามารถสร้างความเสียหายไปยังหน่วยความจำระหว่างการดำเนินการโคลนหรือดึงข้อมูล และปัญหาที่สำคัญอีกประการหนึ่งคือการเรียกใช้โค้ดระหว่างการดำเนินการ ซึ่งมักจะดำเนินการโดย Git forges
วิธีที่จะป้องกันการโจมตีที่พยายามใช้ประโยชน์จากช่องโหว่เหล่านี้คือการอัปเดต Git ให้เป็นเวอร์ชันล่าสุดคือ v2.39.1 แต่ผู้ใช้ที่ไม่สามารถทำการอัปเดตได้สามารถใช้วิธีต่อไปนี้เพื่อให้แน่ใจว่าผู้โจมตีจะไม่สามารถใช้ฟังก์ชัน Git ที่มีช่องโหว่ในการโจมตีได้ โดยให้ปิดการใช้งานของ git archive ใน repositories ที่ไม่น่าเชื่อถือหรือหลีกเลี่ยงการเรียกใช้คำสั่งบน repos ที่ไม่น่าเชื่อถือ หาก git archive ถูกเปิดผ่าน git daemon ก็ให้รีบปิดการใช้งานในทันที
https://www.bleepingcomputer.com/news/security/git-patches-two-critical-remote-code-execution-security-flaws/