Разработчики Git и различные компании, предоставляющие хостинг для Git-репозиториев, выпустили обновления для клиентов и серверов (Git v2.17.1, v2.13.7, v2.14.4, v2.15.2 и v2.16.4), исправляющие сразу две опасные уязвимости: CVE-2018-11235 и CVE-2018-11233. Наиболее серьезным из двух багов является CVE-2018-11235. Проблема связана с именами сабмодулей и рекурсивным клонированием репозиториев. Она позволяет злоумышленнику создать вредоносный репозиторий, содержащий специальный сабмодуль. Как только пользователь клонирует данный репозиторий, из-за вредоносного сабмодуля атакующий получит возможность выполнить произвольный код в пользовательской системе. Баг был обнаружен Этьеном Сталмансом (Etienne Stalmans), однако подробнее всего об уязвимости рассказали специалисты Microsoft Visual Studio Team Services. Вторая проблема, CVE-2018-11233, представляет меньшую опасность и описывается как баг в обработке путей при использовании файловой системы NTFS. Уязвимость позволяет извлекать из памяти содержимое, относящееся к процессу Git. Теперь специалисты призывают пользователей обновить свои Git-клиенты. Эксперты Microsoft даже опубликовали на этот счет отдельные и подробные инструкции. Источник новости - google.com