Рекомендация Debian по безопасности

DSA-2215-1 gitolite -- обход каталога

Дата сообщения:
09.04.2011
Затронутые пакеты:
gitolite
Уязвим:
Да
Ссылки на базы данных по безопасности:
На данный момент ссылки на внешние базы данных по безопасности отсутствуют.
Более подробная информация:

Дилан Саймон обнаружил, что gitolite, ПО для управления шлюзом на основе SSH для репозиториев Git, уязвимо для атак по обходу каталога при ограничении определённых администратором команд (ADC). Это позволяет злоумышленнику выполнять произвольные команды с правами сервера gitolite с помощью специально сформированных имён команд.

Заметьте, что это касается только тех случаев, когда включены ADC (по умолчанию в Debian они отключены).

Предыдущий стабильный выпуск (lenny) не подвержен данной проблеме, поскольку в нём нет пакетов gitolite.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 1.5.4-2+squeeze1.

В тестируемом выпуске (wheezy) эта проблема была исправлена в версии 1.5.7-2.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 1.5.7-2.

Рекомендуется обновить пакеты gitolite.