Múltiples vulnerabilidades en Git afectan a productos Atlassian

Fecha de publicación: 16/02/2023

Importancia:
Crítica

Recursos afectados:

Todas las versiones de los productos:

• Bitbucket Server y Data Center,
• Bamboo Server y Data Center,
• Fisheye,
• Crucible,
• Sourcetree para Mac y Windows.

Descripción:

2 vulnerabilidades críticas en Git afectan a varios productos de Atlassian. La explotación de estas vulnerabilidades podría permitir a un atacante ejecutar código remoto.

Solución:

• Actualizar Git a las versiones:
  • 2.30.7 o superiores;
  • 2.31.6;
  • 2.32.5;
  • 2.33.6;
  • 2.34.6;
  • 2.35.6;
  • 2.36.4;
  • 2.37.5;
  • 2.38.3;
  • 2.39.1.
• El equipo de Sourcetree está trabajando en la actualización de los binarios Git integrados a 2.39.1 para la próxima versión de lanzamiento del producto:
  • Mac 4.2.2;
  • Windows 3.4.12.
• Para el resto de productos afectados, Atlassian ha publicado unas tablas denominadas Patch Recommendations con recomendaciones a aplicar en función de la configuración de Git establecida.

Detalle:

• Al procesar los operadores de relleno para formatear se podría producir un desbordamiento de enteros, provocado por un usuario que ejecute un comando para invocar el mecanismo de formateo de confirmaciones, o indirectamente a través de git archive y el mecanismo export-subst. Se ha asignado el identificador CVE-2022-41903 para esta vulnerabilidad.
• El mecanismo gitattributes, utilizado para definir atributos en las rutas, es vulnerable a un desbordamiento de enteros a través de un archivo .gitattributes malicioso cuando hay un gran número de patrones de ruta, un gran número de atributos para un único patrón, o cuando los nombres de los atributos declarados son enormes. Se ha asignado el identificador CVE-2022-23521 para esta vulnerabilidad.

Etiquetas:
Actualización, Vulnerabilidad