Fecha de publicaciĂłn: 16/02/2023
Importancia:
CrĂtica
Recursos afectados:
Todas las versiones de los productos:
- Bitbucket Server y Data Center,
- Bamboo Server y Data Center,
- Fisheye,
- Crucible,
- Sourcetree para Mac y Windows.
DescripciĂłn:
2 vulnerabilidades crĂticas en Git afectan a varios productos de Atlassian. La explotaciĂłn de estas vulnerabilidades podrĂa permitir a un atacante ejecutar cĂłdigo remoto.
SoluciĂłn:
- Actualizar Git a las versiones:
- 2.30.7 o superiores;
- 2.31.6;
- 2.32.5;
- 2.33.6;
- 2.34.6;
- 2.35.6;
- 2.36.4;
- 2.37.5;
- 2.38.3;
- 2.39.1.
- El equipo de Sourcetree estĂĄ trabajando en la actualizaciĂłn de los binarios Git integrados a 2.39.1 para la prĂłxima versiĂłn de lanzamiento del producto:
- Mac 4.2.2;
- Windows 3.4.12.
- Para el resto de productos afectados, Atlassian ha publicado unas tablas denominadas Patch Recommendations con recomendaciones a aplicar en funciĂłn de la configuraciĂłn de Git establecida.
Detalle:
- Al procesar los operadores de relleno para formatear se podrĂa producir un desbordamiento de enteros, provocado por un usuario que ejecute un comando para invocar el mecanismo de formateo de confirmaciones, o indirectamente a travĂ©s de git archive y el mecanismo export-subst. Se ha asignado el identificador CVE-2022-41903 para esta vulnerabilidad.
- El mecanismo gitattributes, utilizado para definir atributos en las rutas, es vulnerable a un desbordamiento de enteros a travĂ©s de un archivo .gitattributes malicioso cuando hay un gran nĂșmero de patrones de ruta, un gran nĂșmero de atributos para un Ășnico patrĂłn, o cuando los nombres de los atributos declarados son enormes. Se ha asignado el identificador CVE-2022-23521 para esta vulnerabilidad.
Etiquetas:
ActualizaciĂłn, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.