Säkerhetsbulletin från Debian

DSA-4581-1 git -- säkerhetsuppdatering

Rapporterat den:
2019-12-10
Berörda paket:
git
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2019-1348, CVE-2019-1349, CVE-2019-1352, CVE-2019-1353, CVE-2019-1387, CVE-2019-19604.
Ytterligare information:

Flera sårbarheter har upptäckts i git, ett snabbt, skalbart, distribuerat versionshanteringssystem.

  • CVE-2019-1348

    Det har rapporterats att alternativet --export-marks i git fast-import även exponeras via in-stream-kommando-funktionaliteten export-marks=..., vilket tillåter att skriva över godtyckliga sökvägar.

  • CVE-2019-1387

    Man har upptäckt att submodule-namn inte valideras strikt nog, vilket tilltåter riktade angrepp via fjärrkodsexekvering när man utför rekursiva kloner.

  • CVE-2019-19604

    Joern Schneeweisz rapporterade en sårbarhet där en rekursiv klon följt av en submodule-uppdatering kunde exekvera kod som ingår i förrådet utan att användaren explicit har efterfrågat detta. Det tillåts inte längre att `.gitmodules` har inlägg som sätter `submodule.<name>.update=!command`.

Utöver detta adresserar denna uppdatering ett antal säkerhetsproblem som endast är ett problem om git verkar på ett NTFS-filsystem (CVE-2019-1349, CVE-2019-1352 och CVE-2019-1353).

För den gamla stabila utgåvan (Stretch) har dessa problem rättats i version 1:2.11.0-3+deb9u5.

För den stabila utgåvan (Buster) har dessa problem rättats i version 1:2.20.1-2+deb10u1.

Vi rekommenderar att ni uppgraderar era git-paket.

För detaljerad säkerhetsstatus om git vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/git