2023-0274: Git: Zwei Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2023-02-07 12:16): Neues Advisory
Version 2 (2023-02-08 10:02): Für Red Hat Enterprise Linux - Extended Update Support 9.0 (x86_64, aarch64) und 8.6 (x86_64, aarch64), Red Hat Enterprise Linux Server 8.6 AUS / TUS (x86_64) sowie Red Hat Enterprise Linux Server - 4 years of updates 9.0 (aarch64) stehen Sicherheitsupdates für 'git' zur Behebung der Schwachstellen zur Verfügung.
Version 3 (2023-02-28 18:16): Für Red Hat Enterprise Linux Server / Workstation / Desktop / for Scientific Computing 7 (x86_64) stehen Sicherheitsupdates für 'git' zur Behebung der Schwachstellen zur Verfügung.
Version 4 (2023-03-01 09:01): Für Oracle Linux 7 (x86_64, aarch64) stehen korrespondierende Sicherheitsupdates für 'git' bereit, um die Schwachstellen zu beheben.

Betroffene Software

Entwicklung
Middleware
Server

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.

Für Red Hat Enterprise Linux for x86_64 / ARM 64 8 und 9 (x86_64, aarch64), Red Hat Enterprise Linux for x86_64 / ARM 64 - Extended Update Support 8.4 (x86_64, aarch64), Red Hat Enterprise Linux Server - AUS / TUS 8.2 und 8.4 (x86_64) sowie für Red Hat Software Collections (for RHEL Server / Workstation) 1 for RHEL 7 (x86_64) stehen Sicherheitsupdates für 'git' und 'rh-git227-git' bereit, um die beiden Schwachstellen zu beheben.

Für Oracle Linux 8 und 9 (x86_64, aarch64) stehen korrespondierende Sicherheitsupdates zur Behebung der Schwachstellen in 'git' zur Verfügung.

Schwachstellen:

CVE-2022-23521

Schwachstelle in Git ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-41903