Nul
Het Git Project heeft vermeld het bestaan van een ernstige kwetsbaarheid die kan leiden tot het uitvoeren van willekeurige code.
De kwetsbaarheid CVE-2018-17456, werd bekendgemaakt op vrijdag.
De optie-injectie aanval kan worden gebruikt voor het in gevaar brengen van de software submodules. Schadelijke repositories die zijn gekloond en zijn gebruiken .gitmodules bestand met een URL-veld dat begint met een ‘-‘ teken kan worden gebruikt om code uit te voeren op het tijdstip van verwerking.
CVE-2018-17456 is vergelijkbaar met de CVE-2017-1000117, is een andere optie-injectie aanval die in verband met de behandeling van “ssh” Url ‘ s in Git software. Het laatste probleem kan worden gebruikt voor het uitvoeren van shell-commando ‘ s met de rechten van de gebruiker die de Git client bij het uitvoeren van een kloon-actie op een kwaadaardige archief.
“De commando-regel git clone tool niet goed ontsmetten submodule Url’ s,” de laatste kwetsbaarheid beschrijving leest. “Bij het klonen van submodules, bijvoorbeeld met behulp van git clone –recurse-submodules of git submodule update, de URL van een submodule kan worden opgevat als een commando-regel argument om git clone.”
Het probleem werd gemeld op 23 September door security-onderzoeker @joernchen.
CNET: Nep nieuws op Twitter is nog steeds het bereiken van miljoenen, studie vindt
De laatste versie van de software, Git v2.19.1, is uitgebracht met een patch die het oplossen van het lek.
Daarnaast is het Git Project heeft uitgebracht “backports” voor versie v2.14.5, v2.15.3, v2.16.5, v2.17.2 en v2.18.1 voor de uitroeiing van de ernstige fout in oudere software.
TechRepublic: Hoe 85% van mobiele apps schenden van normen voor de beveiliging
GitHub Desktop gebruikers van de software versies 1.4.1 en ouder worden ook beïnvloed en zijn gevraagd om een update voor 1.4.2 of 1.4.3-beta0, die zijn nu beschikbaar in de Desktop-applicatie.
Atom is ook beïnvloed door oudere, ingebedde vormen van Git en zowel de 1.31.2 en 1.32.0-beta3 releases omvatten een fix.
Echter, GitHub.com noch GitHub Enterprise worden niet beïnvloed.
‘Net als de eerder ontdekte kwetsbaarheden, GitHub.com zal detecteren kwaadaardige repositories, en verwerpt duwt of API-verzoeken u probeert om ze te maken,” Het Git Project zegt. “Versies van GitHub Enterprise met dit detectie zal het schip op 9 oktober.”
Zie ook: Git repository kwetsbaarheid leidt tot uitvoering van externe code aanvallen
Gebruikers van de software worden aangemoedigd tot een update van hun bouwt zo snel mogelijk, evenals het vermijden van de interactie met de submodules van repositories ze niet vertrouwen.
Het Git Project zegt dat er geen indicaties zijn van aanvallen door gebruik te maken van de kwetsbaarheid in het wild.
In Mei, een ernstige tot uitvoering van externe code fout in de Git broncode van software was het gepatched. De bug, CVE 2018-11235, is opgetreden als gevolg van mismanagement van remote repository definities en gegevens.
Vorige en aanverwante dekking
Waarom Microsoft is het kopen van GitHub: It ‘ s all over ontwikkelaar relaties Microsoft open bronnen MS-DOS opnieuw, dit keer op GitHub GitHub te devs: je krijgt Nu beveiligingswaarschuwingen op gebreken in de populaire software bibliotheken
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0