Рекомендация Debian по безопасности
DSA-4581-1 git -- обновление безопасности
- Дата сообщения:
- 10.12.2019
- Затронутые пакеты:
- git
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2019-1348, CVE-2019-1349, CVE-2019-1352, CVE-2019-1353, CVE-2019-1387, CVE-2019-19604.
- Более подробная информация:
-
В git, быстрой масштабируемой распределённой системе управления изменениями, было обнаружено несколько уязвимостей.
- CVE-2019-1348
Было сообщено, что опция --export-marks для git fast-import открыта через поточную командную возможность export-marks=..., что позволяет произвольно переписывать пути.
- CVE-2019-1387
Было обнаружено, что имена подмодулей недостаточно строго проверяются, что позволяет выполнять направленные атаки через удалённое выполнение кода при выполнении рекурсивного клонирования.
- CVE-2019-19604
Йорн Шнивайц сообщил об уязвимости, при которой рекурсивное клонирование, за которым следует обновление подмодуля, может выполнять код, содержащийся в репозитории, без явного запроса об этом у пользователя. Теперь эта возможность отключена, в `.gitmodules` записи вида `submodule.<name>.update=!command` выключены.
Кроме того, данное обновление исправляет ряд проблем безопасности, которые представляют опасность только в том случае, когда git работает в файловой системе NTFS (CVE-2019-1349, CVE-2019-1352 и CVE-2019-1353).
В предыдущем стабильном выпуске (stretch) эти проблемы были исправлены в версии 1:2.11.0-3+deb9u5.
В стабильном выпуске (buster) эти проблемы были исправлены в версии 1:2.20.1-2+deb10u1.
Рекомендуется обновить пакеты git.
С подробным статусом поддержки безопасности git можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/git
- CVE-2019-1348