Bulletin d'alerte Debian

DSA-5357-1 git -- Mise à jour de sécurité

Date du rapport :
23 février 2023
Paquets concernés :
git
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 1031310.
Dans le dictionnaire CVE du Mitre : CVE-2023-22490, CVE-2023-23946.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans git, un système de gestion de versions distribué, rapide et évolutif.

  • CVE-2023-22490

    yvvdwf a découvert une vulnérabilité d'exfiltration de données pendant la réalisation d'un clonage local à partir d'un dépôt malveillant même en utilisant un transport non local.

  • CVE-2023-23946

    Joern Schneeweisz a découvert une vulnérabilité de traversée de répertoires git-apply où un chemin en dehors de l'arbre de travail peut être écrasé sous l'identité de l'utilisateur actif.

Pour la distribution stable (Bullseye), ces problèmes ont été corrigés dans la version 1:2.30.2-1+deb11u2.

Nous vous recommandons de mettre à jour vos paquets git.

Pour disposer d'un état détaillé sur la sécurité de git, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/git.