Vulnerabilidad en Git (CVE-2023-29007)

Git es un sistema de control de revisiones. Antes de las versiones 2.30.9, 2.31.8, 2.32.7, 2.33.8, 2.34.8, 2.35.8, 2.36.6, 2.37.7, 2.38.5, 2.39.3 y 2.40.1, una versión especialmente El archivo `.gitmodules` elaborado con URL de submódulo que tienen más de 1024 caracteres se puede usar para explotar un error en `config.c::git_config_copy_or_rename_section_in_file()`. Este error se puede utilizar para inyectar una configuración arbitraria en `$GIT_DIR/config` de un usuario al intentar eliminar la sección de configuración asociada con ese submódulo. Cuando el atacante inyecta valores de configuración que especifican ejecutables para ejecutar (como `core.pager`, `core.editor`, `core.sshCommand`, etc.), esto puede provocar una ejecución remota de código. Una solución hay una solución disponible en las versiones 2.30.9, 2.31.8, 2.32.7, 2.33.8, 2.34.8, 2.35.8, 2.36.6, 2.37.7, 2.38.5, 2.39.3 y 2.40. .1. Como workaround, evite ejecutar `git submodule deinit` en repositorios que no sean de confianza o sin una inspección previa de cualquier sección de submódulo en `$GIT_DIR/config`.