Представлены корректирующие выпуски всех поддерживаемых веток системы управления исходными текстами Git (2.17.1, 2.13.7, 2.14.4, 2.15.2, 2.16.4), в которых устранены две уязвимости:

• CVE-2018-11235 — возможность выхода за границы базового каталога репозитория через использование символов «../» в имени пути к субмодулю, определённому в файле «.gitmodules». Злоумышленник, имеющий возможность совершения push-операций в репозиторий, может создать/переписать файл в ФС с правами серверного обработчика git;
• CVE-2018-11233 — чтение случайных частей памяти процесса git через создание в файловой системе NTFS специально оформленных путей.

Дополнительно в новых выпусках добавлена возможность блокирования на стороне сервера push-операций с попыткой создания файла .gitmodules в качестве превентивной меры защиты от добавления вредоносного контента в репозиторий. Режим блокировки включается наряду с другими мерами усиления заищиты при наличии параметра receive.fsckObjects в настройках на стороне сервера. Например, ранее подобным образом уже было запрещено создание каталога «.GIT» с изменением регистра символов.