Múltiples vulnerabilidades en Git afectan a productos Atlassian

Fecha de publicación 16/02/2023
Importancia
5 - Crítica
Recursos Afectados

Todas las versiones de los productos:

  • Bitbucket Server y Data Center,
  • Bamboo Server y Data Center,
  • Fisheye,
  • Crucible,
  • Sourcetree para Mac y Windows.
Descripción

2 vulnerabilidades críticas en Git afectan a varios productos de Atlassian. La explotación de estas vulnerabilidades podría permitir a un atacante ejecutar código remoto.

Solución
  • Actualizar Git a las versiones:
    • 2.30.7 o superiores;
    • 2.31.6;
    • 2.32.5;
    • 2.33.6;
    • 2.34.6;
    • 2.35.6;
    • 2.36.4;
    • 2.37.5;
    • 2.38.3;
    • 2.39.1.
  • El equipo de Sourcetree está trabajando en la actualización de los binarios Git integrados a 2.39.1 para la próxima versión de lanzamiento del producto:
    • Mac 4.2.2;
    • Windows 3.4.12.
  • Para el resto de productos afectados, Atlassian ha publicado unas tablas denominadas Patch Recommendations con recomendaciones a aplicar en función de la configuración de Git establecida.
Detalle
  • Al procesar los operadores de relleno para formatear se podría producir un desbordamiento de enteros, provocado por un usuario que ejecute un comando para invocar el mecanismo de formateo de confirmaciones, o indirectamente a través de git archive y el mecanismo export-subst. Se ha asignado el identificador CVE-2022-41903 para esta vulnerabilidad.
  • El mecanismo gitattributes, utilizado para definir atributos en las rutas, es vulnerable a un desbordamiento de enteros a través de un archivo .gitattributes malicioso cuando hay un gran número de patrones de ruta, un gran número de atributos para un único patrón, o cuando los nombres de los atributos declarados son enormes. Se ha asignado el identificador CVE-2022-23521 para esta vulnerabilidad.

Encuesta valoración