chore(deps-dev): bump gitpython from 3.1.31 to 3.1.37 #412
Add this suggestion to a batch that can be applied as a single commit.
This suggestion is invalid because no changes were made to the code.
Suggestions cannot be applied while the pull request is closed.
Suggestions cannot be applied while viewing a subset of changes.
Only one suggestion per line can be applied in a batch.
Add this suggestion to a batch that can be applied as a single commit.
Applying suggestions on deleted lines is not supported.
You must change the existing code in this line in order to create a valid suggestion.
Outdated suggestions cannot be applied.
This suggestion has been applied or marked resolved.
Suggestions cannot be applied from pending reviews.
Suggestions cannot be applied on multi-line comments.
Suggestions cannot be applied while the pull request is queued to merge.
Suggestion cannot be applied right now. Please check back later.
Обновляет gitpython с 3.1.31 до 3.1.37.
Примечания к релизу
Sourced from gitpython's releases.
... (truncated)
Коммиты
b27a89f
fix makefile to compare commit hashes only0bd2890
prepare next release832b6ee
remove unnecessary list comprehension to fix CIe98f57b
Merge pull request #1672 from trail-of-forks/robust-refname-checks1774f1e
Merge pull request #1677 from EliahKagan/no-noeffecta4701a0
Remove@NoEffect
annotationsd40320b
Merge pull request #1675 from EliahKagan/rollbackd1c1f31
Merge pull request #1673 from EliahKagan/flake8e480985
Tweak rollback logic in log.to_fileff84b26
Refactor try-finally cleanup in git/Данный PR исправляет 3 CVE:
CVE-2023-40267
GitPython до версии 3.1.32 не блокирует небезопасные не-множественные опции в командах clone и clone_from, что делает ее уязвимой к удаленному выполнению кода (RCE) из-за неправильной проверки пользовательского ввода, позволяющей внедрить в команду clone злонамеренно созданный удаленный URL. Эксплуатация данной уязвимости возможна из-за того, что библиотека осуществляет внешние вызовы git без достаточной санации входных аргументов.
CVE-2023-40590
При разрешении пути до программы, Python/Windows сначала просматривает текущий рабочий каталог, а затем смотрит в PATH. Стандартное поведение GitPython приводит к тому, что если пользователь запускает GitPython из репозитория, содержащего git.exe или любой другой исполняющий файл git (например .bat), то этот исполняющий файл будет запущен вместо настоящего git.exe, находящегося в переменной окружения
PATH
у пользователя.CVE-2023-41040
Для разрешения некоторых git-ссылок, GitPython считывает файлы из каталога .git. В некоторых местах имя считываемого файла указывается пользователем, GitPython не проверяет, находится ли этот файл вне каталога .git. Это позволяет злоумышленнику заставить GitPython читать любой файл из системы.