Информация по безопасности / 2019 / Информация о безопасности -- DSA-4581-1 git

Рекомендация Debian по безопасности

DSA-4581-1 git -- обновление безопасности

Дата сообщения:

10.12.2019

Затронутые пакеты:

git

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2019-1348, CVE-2019-1349, CVE-2019-1352, CVE-2019-1353, CVE-2019-1387, CVE-2019-19604.

Более подробная информация:

В git, быстрой масштабируемой распределённой системе управления изменениями, было обнаружено несколько уязвимостей.

• CVE-2019-1348

  Было сообщено, что опция --export-marks для git fast-import открыта через поточную командную возможность export-marks=..., что позволяет произвольно переписывать пути.

• CVE-2019-1387

  Было обнаружено, что имена подмодулей недостаточно строго проверяются, что позволяет выполнять направленные атаки через удалённое выполнение кода при выполнении рекурсивного клонирования.

• CVE-2019-19604

  Йорн Шнивайц сообщил об уязвимости, при которой рекурсивное клонирование, за которым следует обновление подмодуля, может выполнять код, содержащийся в репозитории, без явного запроса об этом у пользователя. Теперь эта возможность отключена, в `.gitmodules` записи вида `submodule.<name>.update=!command` выключены.

Кроме того, данное обновление исправляет ряд проблем безопасности, которые представляют опасность только в том случае, когда git работает в файловой системе NTFS (CVE-2019-1349, CVE-2019-1352 и CVE-2019-1353).

В предыдущем стабильном выпуске (stretch) эти проблемы были исправлены в версии 1:2.11.0-3+deb9u5.

В стабильном выпуске (buster) эти проблемы были исправлены в версии 1:2.20.1-2+deb10u1.

Рекомендуется обновить пакеты git.

С подробным статусом поддержки безопасности git можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/git