В последнем обновлении Git исправлено множество уязвимостей

Проект Git выпустил критическое обновление безопасности версии 2.50.1, устраняющее семь уязвимостей, затрагивающих все предыдущие версии Git. Это последнее обновление устраняет проблемы, которые потенциально могут привести к выполнению произвольного кода и манипуляциям с файлами.

Одна из существенных уязвимостей (CVE-2025-48384) связана с неправильной обработкой символов возврата каретки и перевода строки при чтении и записи значений конфигурации. Это может привести к тому, что злоумышленники смогут выполнять произвольный код с помощью хуков подмодуля. Другая связанная с этим проблема (CVE-2025-48385) касается недостаточной проверки Git при получении пакетов репозитория, что позволяет злоумышленникам использовать внедрение протокола и потенциально записывать файлы в произвольные места.

На платформе Windows уязвимость CVE-2025-48386 указывает на риск переполнения буфера, связанный с помощником по учётным данным Wincred, который используется при аутентификации в Git. Эта уязвимость может позволить злоумышленникам скомпрометировать пользовательские системы с помощью атак на переполнение.

Кроме того, это обновление устраняет четыре уязвимости, связанные с графическими интерфейсами Git, а именно с Gitk и Git GUI. Эти интерфейсы, основанные на Tcl/Tk, обеспечивают визуальное взаимодействие с репозиториями Git. Такие уязвимости, как CVE-2025-27613 и CVE-2025-27614, связаны с некорректной обработкой Gitk специально созданных репозиториев или имён файлов, что позволяет произвольно манипулировать файлами и выполнять сценарии, предоставленные злоумышленником.

Специфичная для Windows CVE-2025-46334 в графическом интерфейсе Git представляет собой сценарий, при котором вредоносные исполняемые файлы, расположенные в рабочем каталоге репозитория, могут быть случайно запущены пользователями, взаимодействующими с графическим интерфейсом. CVE-2025-46335 дополнительно иллюстрирует риски, связанные с уязвимостями при манипуляциях с файлами в графическом интерфейсе Git, аналогичными CVE-2025-27613, которая позволяет злоумышленникам перезаписывать произвольные файлы.

Для эффективного устранения этих уязвимостей пользователям настоятельно рекомендуется немедленно обновиться до Git 2.50.1. Для тех, кто не может выполнить обновление в ближайшее время, предусмотрены временные меры: отказ от рекурсивного клонирования подмодулей из ненадёжных источников, отключение автоматической выборки пакетов, отказ от использования Wincred для учётных данных в Windows и отказ от запуска Git GUI или Gitk в ненадёжных репозиториях.

Для получения дополнительной информации обратитесь к официальному объявлению: https://github.blog/open-source/git/git-security-vulnerabilities-announced-6/.

Редактор: AndreyEx