ในช่วงสัปดาห์ที่ผ่านมา Git มีการออก update เพื่ออุดช่องโหว่ remote execution ใน git version ที่ต่ำกว่า 2.14.5, 2.15.3, 2.16.5, 2.17.2, 2.18.1, 2.19.1

นาย Junio C Hamano พบช่องโหว่ CVE-2018-17456 โดยช่องโหว่ดังกล่าวจะเกิดขึ้นเมื่อมีการ download จาก git โดยใช้ option –recurse-submodules ซึ่งจะเป็นการไปอ่านค่าของ .gitmodules ซึ่งหากภายในไฟล์ดังกล่าวมีการเขียน URL ของ module นั้น ขึ้นต้นด้วย “-“(dash)  ตัว git จะมองว่าเป็นการใช้งาน option แทน ซึ่งก็กลายเป็นการระบุการรัน option เพื่อรันคำสั่งได้นั่นเอง

ผลกระทบ: Remote Code Execution
ระบบที่ได้รับผลกระทบ: ก่อน 2.14.5, 2.15.x ก่อน 2.15.3, 2.16.x ก่อน 2.16.5, 2.17.x ก่อน 2.17.2, 2.18.x ก่อน 2.18.1, และ 2.19.x ก่อน 2.19.1
วิธีการแก้ไข: Update git ให้เป็น version 2.14.5,  2.15.3,  2.16.5,  2.17.2, 2.18.1, และ 2.19.1

Source:: marc.info