Bulletin d'alerte Debian

DSA-3984-1 git -- Mise à jour de sécurité

Date du rapport :
26 septembre 2017
Paquets concernés :
git
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 876854.
Dans le dictionnaire CVE du Mitre : CVE-2017-14867.
Plus de précisions :

joernchen a découvert que la sous-commande git-cvsserver de Git, un système de contrôle de versions distribué, souffre d'une vulnérabilité d'injection de commande d'interpréteur due à un usage non sûr de l'opérateur guillemet inverse (`) de Perl. La sous-commande git-cvsserver peut être atteinte à partir de la sous-commande git-shell même si la prise en charge de CVS n'a pas été configurée (néanmoins, le paquet git-cvs doit être installé).

En plus de corriger ce bogue, cette mise à jour retire par défaut la sous-commande cvsserver de git-shell. Veuillez vous référer à la documentation à jour pour connaître le moyen de réactiver cette fonctionnalité de CVS dans le cas où elle serait encore nécessaire.

Pour la distribution oldstable (Jessie), ce problème a été corrigé dans la version 1:2.1.4-2.1+deb8u5.

Pour la distribution stable (Stretch), ce problème a été corrigé dans la version 1:2.11.0-3+deb9u2.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1:2.14.2-1.

Nous vous recommandons de mettre à jour vos paquets git.