Debians sikkerhedsbulletin

DSA-3984-1 git -- sikkerhedsopdatering

Rapporteret den:
26. sep 2017
Berørte pakker:
git
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 876854.
I Mitres CVE-ordbog: CVE-2017-14867.
Yderligere oplysninger:

joernchen opdagede at underkommandoen git-cvsserver i Git, et distribueret versionsstyringssystem, var ramt af en sårbarhed i forbindelse med indsprøjtning af shell-kommandoer, på grund af usikker anvendelse af Perls backtickoperator. Underkommandoen git-cvsserver er tilgængelig fra underkommandoen git-shell, selv hvis understøttelse af CVS ikke er opsat (dog skal pakken git-cvs være installeret).

Ud over rettelsen af den egentlige fejl, fjerner denne opdatering som standard underkommandoen cvsserver fra git-shell. Se den opdaterede dokumentation for oplysninger om hvordan man genaktiverer igen, i tilfælde af af CVS-funktionaliteten stadig er nødvendig.

I den gamle stabile distribution (jessie), er dette problem rettet i version 1:2.1.4-2.1+deb8u5.

I den stabile distribution (stretch), er dette problem rettet i version 1:2.11.0-3+deb9u2.

I den ustabile distribution (sid), er dette problem rettet i version 1:2.14.2-1.

Vi anbefaler at du opgraderer dine git-pakker.