Page History
| Warning |
|---|
This is a public space: For the draft, please restrict the page during creation and |
| French | ||||
|---|---|---|---|---|
Contenu
|
| German | ||||
|---|---|---|---|---|
Inhalte
|
| English | ||||
|---|---|---|---|---|
Contents
|
| Page properties | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|
|
Git Buffer Overflow dans plusieurs produits - CVE-2022-41903, CVE-2022-23521
Chers clients
Cet avis s'adresse à deux vulnérabilités critiques dans Git qui affectent plusieurs produits Atlassian.
Les sites Atlassian Cloud ne sont pas affectés.
CVE-2022-41903 - Heap of Overflow dans git archive, git log --format
Git Security Advisory - CVE-2022-41903
git log a la possibilité d'afficher les commits dans n'importe quel format avec les spécifications --format. Cette fonctionnalité est également disponible pour git archive via l'attribut git export-subst.
Lors du traitement des opérateurs de remplissage pour le formatage (par exemple %<(, %<|(, %>(, >>(, ou %><(), un Overflow d'entier peut se produire. Ce Overflow peut être déclenché directement par un utilisateur qui exécute une commande appelant la machinerie de formatage des commit, ou indirectement par l'archive Git et le mécanisme export-subst.
Le Overflow d'entier provoque des écritures arbitraires dans le tas qui peuvent conduire à une exécution de code externe.
CVE-2022-23531 - gitattributes parsing integer overflow
Git Security Advisory - CVE-2022-23521
Les gitattributes sont un mécanisme qui permet de définir des attributs pour les chemins d'accès. Ces attributs peuvent être définis en ajoutant au référentiel un fichier .gitattributes qui contient une série de modèles de fichiers et les attributs à définir pour les chemins correspondant à ce modèle.
Lors de l'analyse syntaxique de gitattributes, il peut y avoir plusieurs Overflows d'entiers s'il y a un grand nombre de modèles de chemin, un grand nombre d'attributs pour un seul modèle, ou si les noms d'attributs déclarés sont très grands. Ces Overflows peuvent être déclenchés par un fichier ..gitattributes manipulé, qui peut faire partie de l'historique des commits.
Ce Overflow d'entier peut entraîner des lectures et des écritures arbitraires dans le tas, ce qui peut entraîner une exécution de code à distance.
Produits affectés
Git a publié des correctifs pour les deux vulnérabilités pour les versions >= v2.30.7
Bitbucket Server et Data Center
Versions concernées
Toutes les versions de Bitbucket Server et Bitbucket Data Center sont affectées.
Recommandations de correctifs
Git Configuration
Recommendation
Pour les clients fournissant eux-mêmes Git
Atlassian recommande aux clients d'effectuer une mise à niveau vers la dernière version corrigée et supportée de Git disponible.
Veuillez vous référer à la page des plateformes supportées pour une version particulière de Bitbucket afin de savoir si elle supporte Git v2.30.7+.
Les clients utilisant des versions de Bitbucket Server et Data Center < 7.9 devront mettre à jour Bitbucket vers une version ultérieure pour supporter une version corrigée de Git.
Cependant, pour les clients utilisant Bitbucket 7.6, l'équipe Bitbucket a testé et confirmé que Git v2.30.7 devrait fonctionner.
Pour les clients utilisant une image Docker Bitbucket
Toutes les images du cycle de vie du support pour Bitbucket ont été mises à jour pour utiliser une version corrigée de Git.
Veuillez retélécharger les images pour obtenir les dernières modifications.
De même, les clients qui épinglent une image Bitbucket à un hachage doivent mettre à jour la dernière version du hachage associée à la balise d'image respective.
Pour les clients utilisant Git pour Windows
L'équipe Bitbucket a publié la version v7.21.9, qui ajoute le support de Git v2.39.x.
Veuillez effectuer la mise à jour vers la dernière version corrigée et supportée de Git disponible.
Actuellement, Git pour Windows n'a pas prévu de backport fixes.
Bamboo Server and Data Center
Affected Versions
All versions of Bamboo are affected.
Patch Recommendations
Git Configuration
Recommendation
For customers providing Git themselves
Atlassian recommends customers update Git at the Bamboo server and remote agents to the latest patched and supported version available.
Please refer to the supported platforms page for a particular version of Bamboo to see if it supports Git v2.30.7+
For customers using a Bamboo Docker Image
All images in the support lifecycle have been updated to use a patched version of Git.
Please re-download the images to pull the latest changes.
Similarly, customers that pin a Bamboo image to a hash need to update to the latest hash version associated with the respective image tag.
For customers using Elastic Bamboo
New AMIs have been prepared with a patched Git Version for Linux and Windows in supported regions in the upcoming Bamboo 9.1.3 release. Customers not wanting to wait for the release can add a line to update Git in the image startup script at the existing image configuration screen or download and use the AMIs before the official release..
For customers using Git for Windows
Please update to the latest version of Git for Windows
Currently, Git for Windows does not have plans to backport fixes for these vulnerabilities.
Fisheye Server
Affected Versions
All versions of Fisheye are affected.
Patch Recommendations
Git Configuration
Recommendation
For customers providing Git themselves
Atlassian recommends customers upgrade to the latest patched and supported version of Git available.
Please refer to the supported platforms page for a particular version of Fisheye to see if it supports Git v2.30.7+
For customers using a Fisheye Docker Image
All images in the support lifecycle have been updated to use a patched version of Git.
Please re-download the images to pull the latest changes.
Similarly, customers that pin a Fisheye image to a hash need to update to the latest hash version associated with the respective image tag.
For customers using Git for Windows
Please update to the latest version of Git for Windows
Currently, Git for Windows does not have plans to backport fixes for these vulnerabilities.
Crucible Server
Affected Versions
All versions of Crucible are affected
Patch Recommendations
Git Configuration
Recommendation
For customers providing Git themselves
Atlassian recommends customers upgrade to the latest patched and supported version of Git available.
Please refer to the supported platforms page for a particular version of Fisheye to see if it supports Git v2.30.7+
For customers using a Crucible Docker Image
All images in the support lifecycle have been updated to use a patched version of Git.
Please re-download the images to pull the latest changes.
Similarly, customers that pin a Crucible image to a hash need to update to the latest hash version associated with the respective image tag.
For customers using Git for Windows
Please update to the latest version of Git for Windows
Currently, Git for Windows does not have plans to backport fixes for these vulnerabilities.
Sourcetree
Affected Versions
All versions of Sourcetree for Mac and Windows are vulnerable.
Fixed Versions
The Sourcetree team is actively working on updating embedded Git binaries to v2.39.1 for the next product release version.
Mac: v4.2.2
Windows: v3.4.12
Mitigation
While the Sourcetree team is working on updating the embedded Git binary, we recommend customers switch Sourcetree to use a patched system Git version.| German | ||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Git Buffer Overflow in mehreren Produkten - CVE-2022-41903, CVE-2022-23521Geschätzte Kundschaft Dieses Advisory adressiert zwei kritische Sicherheitsschwachstellen in Git, die mehrere Atlassian-Produkte betreffen. Atlassian Cloud sites sind nicht betroffen. CVE-2022-41903 - Heap overflow in |
Git-Konfiguration | Empfehlung |
|---|---|
Für Kunden, die Git selbst anbieten | Atlassian empfiehlt Kunden ein Upgrade auf die neueste gepatchte und unterstützte Version von Git. Bitte schauen Sie auf der Seite für unterstützte Plattformen für eine bestimmte Version von Bitbucket nach, ob sie Git v2.30.7+ unterstützt. Kunden, die Versionen von Bitbucket Server und Data Center < 7.9 verwenden, müssen Bitbucket auf eine neuere Version aktualisieren, um eine gepatchte Version von Git zu unterstützen. Für Kunden, die Bitbucket 7.6 verwenden, hat das Bitbucket-Team jedoch getestet und bestätigt, dass Git v2.30.7 funktionieren sollte. |
Für Kunden, die ein Bitbucket-Docker-Image verwenden | Alle Images im Support Lifecycle für Bitbucket wurden aktualisiert, um eine gepatchte Version von Git zu verwenden. Bitte laden Sie die Images erneut herunter, um die neuesten Änderungen zu übernehmen. Ebenso müssen Kunden, die ein Bitbucket-Image mit einem Hash verknüpfen, auf die neueste Hash-Version aktualisieren, die mit dem jeweiligen Image-Tag verknüpft ist. |
Für Kunden, die Git für Windows verwenden | Das Bitbucket-Team hat Version v7.21.9 veröffentlicht, die Unterstützung für Git v2.39.x bietet. Bitte aktualisieren Sie auf die neueste gepatchte und unterstützte Version von Git, die verfügbar ist. Derzeit ist für Git für Windows keine backport fixes für diese Sicherheitslücken geplant. |
Bamboo Server und Data Center
Betroffene Versionen
Alle Versionen von Bamboo sind betroffen.
Patch Empfehlungen
Git-Konfiguration | Empfehlung |
|---|---|
Für Kunden, die Git selbst bereitstellen | Atlassian empfiehlt seinen Kunden, Git auf dem Bamboo-Server und den Remote-Agenten auf die neueste gepatchte und unterstützte Version zu aktualisieren. Bitte sehen Sie auf der Seite der unterstützten Plattformen nach, ob eine bestimmte Bamboo-Version Git v2.30.7+ unterstützt. |
Für Kunden, die ein Bamboo Docker Image verwenden | Alle Images im Support-Lebenszyklus wurden aktualisiert, um eine gepatchte Version von Git zu verwenden. Bitte laden Sie die Images erneut herunter, um die neuesten Änderungen zu übernehmen. Ebenso müssen Kunden, die ein Bamboo Bild an einen Hash pinnen, auf die neueste Hash-Version aktualisieren, die mit dem jeweiligen Bild-Tag verbunden ist. |
Für Kunden, die Elastic Bamboo verwenden | Neue AMIs wurden mit einer gepatchten Git Version für Linux und Windows in unterstützten Regionen für das kommende Bamboo 9.1.3 Release vorbereitet. Kunden, die nicht auf das Release warten wollen, können eine Zeile zur Aktualisierung von Git in das Image-Startskript im bestehenden Image-Konfigurationsbildschirm einfügen oder die AMIs vor dem offiziellen Release herunterladen und verwenden. |
Für Kunden, die Git für Windows verwenden | Bitte aktualisieren Sie auf die neueste Version von Git für Windows. Aktuell hat Git für Windows keine Pläne für backport fixes. |
Fisheye Server
Betroffene Versionen
Alle Versionen von Fisheye sind betroffen.
Patch Empfehlungen
Git-Konfiguration | Empfehlung |
|---|---|
Für Kunden, die Git selbst anbieten | Atlassian empfiehlt seinen Kunden, Git auf dem Bamboo-Server und den Remote-Agenten auf die neueste gepatchte und unterstützte Version zu aktualisieren. Bitte sehen Sie auf der Seite der unterstützten Plattformen nach, ob eine bestimmte Bamboo-Version Git v2.30.7+ unterstützt. |
Für Kunden, die ein Fisheye Docker Image verwenden | Alle Images im Support-Lebenszyklus wurden aktualisiert, um eine gepatchte Version von Git zu verwenden. Bitte laden Sie die Images erneut herunter, um die neuesten Änderungen zu übernehmen. Ebenso müssen Kunden, die ein Fisheye Bild an einen Hash pinnen, auf die neueste Hash-Version aktualisieren, die mit dem jeweiligen Bild-Tag verbunden ist. |
Für Kunden, die Git für Windows verwenden | Bitte aktualisieren Sie auf die neueste Version von Git für Windows. Aktuell hat Git für Windows keine Pläne für backport fixes. |
Crucible Server
Betroffene Versionen
Alle Versionen von Crucible sind betroffen.
Patch Empfehlungen
Git-Konfiguration | Empfehlung |
|---|---|
Für Kunden, die Git selbst anbieten | Atlassian empfiehlt seinen Kunden, Git auf dem Bamboo-Server und den Remote-Agenten auf die neueste gepatchte und unterstützte Version zu aktualisieren. Bitte sehen Sie auf der Seite der unterstützten Plattformen nach, ob eine bestimmte Bamboo-Version Git v2.30.7+ unterstützt. |
Für Kunden, die ein Crucible Docker Image verwenden | Alle Images im Support-Lebenszyklus wurden aktualisiert, um eine gepatchte Version von Git zu verwenden. Bitte laden Sie die Images erneut herunter, um die neuesten Änderungen zu übernehmen. Ebenso müssen Kunden, die ein Fisheye Bild an einen Hash pinnen, auf die neueste Hash-Version aktualisieren, die mit dem jeweiligen Bild-Tag verbunden ist. |
Für Kunden, die Git für Windows verwenden | Bitte aktualisieren Sie auf die neueste Version von Git für Windows. Aktuell hat Git für Windows keine Pläne für backport fixes. |
Sourcetree
Betroffene Versionen
Alle Versionen von Sourcetree für Mac und Windows sind anfällig.
Gefixte Versionen
Das Sourcetree-Team arbeitet aktiv an der Aktualisierung der eingebetteten Git-Binärdateien auf v2.39.1 für die nächste Produktversion.
Mac: v4.2.2
Windows: v3.4.12
Maßnahmen zur Abhilfe, Mitigation
Während das Sourcetree-Team an der Aktualisierung der eingebetteten Git-Binärdatei arbeitet, empfehlen wir Kunden, Sourcetree auf eine gepatchte Git-Systemversion umzustellen.
| English | ||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Git Buffer Overflow in Multiple Products - CVE-2022-41903, CVE-2022-23521Dear customer, This advisory addresses a pair of critical security vulnerabilities in Git that affect multiple Atlassian products. Atlassian Cloud sites are not affected. CVE-2022-41903 - Heap overflow in |
Git Configuration | Recommendation |
|---|---|
For customers providing Git themselves | Atlassian recommends customers upgrade to the latest patched and supported version of Git available. Please refer to the supported platforms page for a particular version of Bitbucket to find if it supports Git v2.30.7+. Customers using versions of Bitbucket Server and Data Center < 7.9 will need to upgrade Bitbucket to a later version to support a patched version of Git. However, for customers running Bitbucket 7.6, the Bitbucket Team has tested and confirmed that Git v2.30.7 should work. |
For customers using a Bitbucket Docker Image | All images in the support lifecycle for Bitbucket have been updated to use a patched version of Git. Please re-download the images to pull the latest changes. Similarly, customers that pin a Bitbucket image to a hash need to update to the latest hash version associated with the respective image tag. |
For customers using Git for Windows | The Bitbucket team has released version v7.21.9, which adds support for Git v2.39.x. Please update to the latest patched and supported version of Git available. Currently, Git for Windows does not have plans to backport fixes for these vulnerabilities. |
Bamboo Server and Data Center
Affected Versions
All versions of Bamboo are affected.
Patch Recommendations
Git Configuration | Recommendation |
|---|---|
For customers providing Git themselves | Atlassian recommends customers update Git at the Bamboo server and remote agents to the latest patched and supported version available. Please refer to the supported platforms page for a particular version of Bamboo to see if it supports Git v2.30.7+ |
For customers using a Bamboo Docker Image | All images in the support lifecycle have been updated to use a patched version of Git. Please re-download the images to pull the latest changes. Similarly, customers that pin a Bamboo image to a hash need to update to the latest hash version associated with the respective image tag. |
For customers using Elastic Bamboo | New AMIs have been prepared with a patched Git Version for Linux and Windows in supported regions in the upcoming Bamboo 9.1.3 release. Customers not wanting to wait for the release can add a line to update Git in the image startup script at the existing image configuration screen or download and use the AMIs before the official release.. |
For customers using Git for Windows | Please update to the latest version of Git for Windows Currently, Git for Windows does not have plans to backport fixes for these vulnerabilities. |
Fisheye Server
Affected Versions
All versions of Fisheye are affected.
Patch Recommendations
Git Configuration | Recommendation |
|---|---|
For customers providing Git themselves | Atlassian recommends customers upgrade to the latest patched and supported version of Git available. Please refer to the supported platforms page for a particular version of Fisheye to see if it supports Git v2.30.7+ |
For customers using a Fisheye Docker Image | All images in the support lifecycle have been updated to use a patched version of Git. Please re-download the images to pull the latest changes. Similarly, customers that pin a Fisheye image to a hash need to update to the latest hash version associated with the respective image tag. |
For customers using Git for Windows | Please update to the latest version of Git for Windows Currently, Git for Windows does not have plans to backport fixes for these vulnerabilities. |
Crucible Server
Affected Versions
All versions of Crucible are affected
Patch Recommendations
Git Configuration | Recommendation |
|---|---|
For customers providing Git themselves | Atlassian recommends customers upgrade to the latest patched and supported version of Git available. Please refer to the supported platforms page for a particular version of Fisheye to see if it supports Git v2.30.7+ |
For customers using a Crucible Docker Image | All images in the support lifecycle have been updated to use a patched version of Git. Please re-download the images to pull the latest changes. Similarly, customers that pin a Crucible image to a hash need to update to the latest hash version associated with the respective image tag. |
For customers using Git for Windows | Please update to the latest version of Git for Windows Currently, Git for Windows does not have plans to backport fixes for these vulnerabilities. |
Sourcetree
Affected Versions
All versions of Sourcetree for Mac and Windows are vulnerable.
Fixed Versions
The Sourcetree team is actively working on updating embedded Git binaries to v2.39.1 for the next product release version.
Mac: v4.2.2
Windows: v3.4.12
Mitigation
While the Sourcetree team is working on updating the embedded Git binary, we recommend customers switch Sourcetree to use a patched system Git version.
