Debians sikkerhedsbulletin

DSA-4581-1 git -- sikkerhedsopdatering

Rapporteret den:
10. dec 2019
Berørte pakker:
git
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2019-1348, CVE-2019-1349, CVE-2019-1352, CVE-2019-1353, CVE-2019-1387, CVE-2019-19604.
Yderligere oplysninger:

Flere sårbarheder er opdaget i git, et hurtigt, skalerbart og distribueret versionsstyringssystem.

  • CVE-2019-1348

    Der blev rapporteret af valgmuligheden --export-marks tilhørende git fast-import, også blev udstilet gennem in-stream-kommandofunktionaliteten export-marks=..., hvilket gjorde det muligt at overskrive vilkårlige stier.

  • CVE-2019-1387

    Man opdagede at submodule-navne ikke blev valideret tilstrækkeligt strikst, hvilket muliggjorde målrettede angreb gennem fjernudførelse af kode, når der blev dannet rekursive kloner.

  • CVE-2019-19604

    Joern Schneeweisz rapportered eom en sårbarhed, hvor en rekursiv klone efterfulgt af opdatering af et submodule, kunne udføre kode indeholdt i arkivet, uden at brugeren eksplicit havde bedt om det. Det er nu ikke længere tilladt at .gitmodules indeholder registreringer som opsætter submodule.<name>.update=!command.

Desuden løser denne opdatering et antal sikkerhedsproblemer, som kun er et problem hvis git afvikles på et NTFS-filsystem (CVE-2019-1349, CVE-2019-1352 og CVE-2019-1353).

I den gamle stabile distribution (stretch), er disse problemer rettet i version 1:2.11.0-3+deb9u5.

I den stabile distribution (buster), er disse problemer rettet i version 1:2.20.1-2+deb10u1.

Vi anbefaler at du opgraderer dine git-pakker.

For detaljeret sikkerhedsstatus vedrørende git, se dens sikkerhedssporingssidede på: https://security-tracker.debian.org/tracker/git