Рекомендация Debian по безопасности

DSA-4581-1 git -- обновление безопасности

Дата сообщения:
10.12.2019
Затронутые пакеты:
git
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2019-1348, CVE-2019-1349, CVE-2019-1352, CVE-2019-1353, CVE-2019-1387, CVE-2019-19604.
Более подробная информация:

В git, быстрой масштабируемой распределённой системе управления изменениями, было обнаружено несколько уязвимостей.

  • CVE-2019-1348

    Было сообщено, что опция --export-marks для git fast-import открыта через поточную командную возможность export-marks=..., что позволяет произвольно переписывать пути.

  • CVE-2019-1387

    Было обнаружено, что имена подмодулей недостаточно строго проверяются, что позволяет выполнять направленные атаки через удалённое выполнение кода при выполнении рекурсивного клонирования.

  • CVE-2019-19604

    Йорн Шнивайц сообщил об уязвимости, при которой рекурсивное клонирование, за которым следует обновление подмодуля, может выполнять код, содержащийся в репозитории, без явного запроса об этом у пользователя. Теперь эта возможность отключена, в `.gitmodules` записи вида `submodule.<name>.update=!command` выключены.

Кроме того, данное обновление исправляет ряд проблем безопасности, которые представляют опасность только в том случае, когда git работает в файловой системе NTFS (CVE-2019-1349, CVE-2019-1352 и CVE-2019-1353).

В предыдущем стабильном выпуске (stretch) эти проблемы были исправлены в версии 1:2.11.0-3+deb9u5.

В стабильном выпуске (buster) эти проблемы были исправлены в версии 1:2.20.1-2+deb10u1.

Рекомендуется обновить пакеты git.

С подробным статусом поддержки безопасности git можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/git