Git 2.40.1 已发布,修复最新披露的三个新的安全漏洞。这些安全修复也针对之前的稳定系列更新,包括 Git v2.39.3、v2.38.5、v2.37.7、v2.36.6、v2.35.8、v2.34.8、v2.33.8、v2.32.7、v2.31.8和 v2.30.9。
三个 Git 安全漏洞是 CVE-2023-25652、CVE-2023-25815 和 CVE-2023-29007。
CVE-2023-25652
通过将特制的输入提供给 `git apply --reject`,工作树之外的路径可以被部分控制的内容覆盖(对应于给定补丁中被拒绝的块)。
CVE-2023-25815
当 Git 使用运行时前缀支持编译,并且在没有翻译消息的情况下运行时,它仍然使用 gettext 机制来显示消息,这可能会在意想不到的地方寻找翻译消息。导致允许恶意放置精心制作的消息。
CVE-2023-29007
从配置文件中重命名或删除部分时,某些恶意配置值可能会被误解为新配置部分的开头,从而导致任意配置注入。
发布公告