Aviso de seguridad de Debian

DSA-4581-1 git -- actualización de seguridad

Fecha del informe:
10 de dic de 2019
Paquetes afectados:
git
Vulnerable:
Referencias a bases de datos de seguridad:
En el diccionario CVE de Mitre: CVE-2019-1348, CVE-2019-1349, CVE-2019-1352, CVE-2019-1353, CVE-2019-1387, CVE-2019-19604.
Información adicional:

Se han descubierto varias vulnerabilidades en git, un sistema de control de versiones distribuido, rápido y escalable.

  • CVE-2019-1348

    Se informó de que la opción --export-marks de git fast-import está expuesta también por medio de la orden feature export-marks=... en la entrada («in-stream»), lo que permite que se sobrescriban rutas arbitrarias.

  • CVE-2019-1387

    Se descubrió que los nombres de los submódulos no se validan de forma lo suficientemente estricta, lo que permite ataques muy dirigidos mediante ejecución de código remoto al realizar clonaciones recursivas.

  • CVE-2019-19604

    Joern Schneeweisz informó de una vulnerabilidad por la cual una clonación recursiva seguida de la actualización de un submódulo podía ejecutar código contenido en el repositorio sin que el usuario lo pida explícitamente. Ahora no se acepta que `.gitmodules` incluya entradas de la forma `submodule.<name>.update=!command`.

Además, esta actualización aborda varias cuestiones de seguridad que solo son un problema si git opera en un sistema de archivos NTFS (CVE-2019-1349, CVE-2019-1352 y CVE-2019-1353).

Para la distribución «antigua estable» (stretch), estos problemas se han corregido en la versión 1:2.11.0-3+deb9u5.

Para la distribución «estable» (buster), estos problemas se han corregido en la versión 1:2.20.1-2+deb10u1.

Le recomendamos que actualice los paquetes de git.

Para información detallada sobre el estado de seguridad de git, consulte su página en el sistema de seguimiento de problemas de seguridad: https://security-tracker.debian.org/tracker/git