CVE-2024-41956

Versões do Soft Serve anteriores à 0.7.5

O problema está relacionado ao fato de o Soft Serve passar todas as variáveis de ambiente fornecidas pelo cliente para subprocessos do Git, incluindo variáveis que controlam a execução do programa, como LD PRELOAD. Isso pode ser explorado para executar código arbitrário ao enviar um arquivo de objeto compartilhado malicioso para o Soft Serve via Git LFS e referenciá-lo em LD PRELOAD por meio de uma sessão SSH do Soft Serve. Por exemplo, um invasor pode usar a variável LD PRELOAD para executar um shell ao corrigir uma função de biblioteca compartilhada chamada pelo git.

Para versões anteriores à 0.7.5, atualize para a versão 0.7.5 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à variável de ambiente LD PRELOAD para minimizar o risco de exploração. Além disso, evite usar o Git LFS para enviar arquivos maliciosos até que o problema seja resolvido.