Múltiples vulnerabilidades en Git afectan a productos Atlassian
Fecha de publicación 16/02/2023
Importancia
5 - Crítica
Recursos Afectados
Todas las versiones de los productos:
- Bitbucket Server y Data Center,
- Bamboo Server y Data Center,
- Fisheye,
- Crucible,
- Sourcetree para Mac y Windows.
Descripción
2 vulnerabilidades críticas en Git afectan a varios productos de Atlassian. La explotación de estas vulnerabilidades podría permitir a un atacante ejecutar código remoto.
Solución
- Actualizar Git a las versiones:
- 2.30.7 o superiores;
- 2.31.6;
- 2.32.5;
- 2.33.6;
- 2.34.6;
- 2.35.6;
- 2.36.4;
- 2.37.5;
- 2.38.3;
- 2.39.1.
- El equipo de Sourcetree está trabajando en la actualización de los binarios Git integrados a 2.39.1 para la próxima versión de lanzamiento del producto:
- Mac 4.2.2;
- Windows 3.4.12.
- Para el resto de productos afectados, Atlassian ha publicado unas tablas denominadas Patch Recommendations con recomendaciones a aplicar en función de la configuración de Git establecida.
Detalle
- Al procesar los operadores de relleno para formatear se podría producir un desbordamiento de enteros, provocado por un usuario que ejecute un comando para invocar el mecanismo de formateo de confirmaciones, o indirectamente a través de git archive y el mecanismo export-subst. Se ha asignado el identificador CVE-2022-41903 para esta vulnerabilidad.
- El mecanismo gitattributes, utilizado para definir atributos en las rutas, es vulnerable a un desbordamiento de enteros a través de un archivo .gitattributes malicioso cuando hay un gran número de patrones de ruta, un gran número de atributos para un único patrón, o cuando los nombres de los atributos declarados son enormes. Se ha asignado el identificador CVE-2022-23521 para esta vulnerabilidad.
Listado de referencias
Etiquetas