Bulletin d'alerte Debian

DSA-4581-1 git -- Mise à jour de sécurité

Date du rapport :
10 décembre 2019
Paquets concernés :
git
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2019-1348, CVE-2019-1349, CVE-2019-1352, CVE-2019-1353, CVE-2019-1387, CVE-2019-19604.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans git, un système de gestion de versions distribué, rapide et évolutif.

  • CVE-2019-1348

    Il a été signalé que l'option --export-marks de fast-import de git est aussi exposée au moyen de la fonctionnalité export-marks=... de la commande in-stream, permettant l'écrasement de chemins arbitraires.

  • CVE-2019-1387

    Les noms des sous modules ne sont pas validés de façon suffisamment stricte, permettant des attaques très ciblées au moyen de l'exécution distante de code lors de la réalisation de clones récursifs.

  • CVE-2019-19604

    Joern Schneeweisz a signalé une vulnérabilité où un clone récursif suivi de la mise à jour d'un sous-module pourrait exécuter du code contenu par le dépôt sans que l'utilisateur ne soit explicitement interrogé à ce sujet. Il est désormais interdit aux « .gitmodule » d'avoir des entrées qui définissent « submodule.<name>.update=!command ».

En complément, cette mise à jour corrige un certain nombre de problèmes de sécurité qui existent seulement si git fonctionne sur un système de fichiers NTFS (CVE-2019-1349, CVE-2019-1352 et CVE-2019-1353).

Pour la distribution oldstable (Stretch), ces problèmes ont été corrigés dans la version 1:2.11.0-3+deb9u5.

Pour la distribution stable (Buster), ces problèmes ont été corrigés dans la version 1:2.20.1-2+deb10u1.

Nous vous recommandons de mettre à jour vos paquets git.

Pour disposer d'un état détaillé sur la sécurité de git, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/git.