События

В клиенте Git, Git Desktop и Atom исправлена критическая уязвимость

В прошлую пятницу, 5 октября, команда Git Project сообщила о наличии в клиенте командной строки Git, Git Desktop и Atom критической уязвимости, позволяющей вредоносным репозиториям удаленно выполнять команды на уязвимой машине.

Уязвимость получила идентификатор CVE-2018-17456 и напоминает обнаруженную ранее CVE-2017-1000117, позволявшую внедрять опции. Как и в случае с CVE-2017-1000117, вредоносный репозиторий может создать файл .gitmodules с URL-адресом, начинающимся с dash.

При использовании dash, когда Git клонирует репозиторий с использованием аргумента --recurse-submodules, команды интерпретируют URL-адрес как опцию, что дает злоумышленнику возможность удаленно выполнить код на уязвимом компьютере.

«Во время запуска "git clone --recurse-submodule" Git проводит синтаксический анализ файла .gitmodules, предоставленного для поля URL, и слепо принимает его в качестве аргумента для подпроцесса "git clone". Если поле URL настроено как строка, начинающаяся с dash, подпроцесс "git clone" интерпретирует URL как опцию. Это может привести к выполнению произвольного скрипта из суперпроекта в качестве пользователя, запустившего "git clone"», - сообщила команда Git Project.

Уязвимость была исправлена в Git v2.19.1& (бэкпорт v2.14.5, v2.15.3, v2.16.5, v2.17.2 и v2.18.1), GitHub Desktop 1.4.2, Github Desktop 1.4.3-beta0, Atom 1.31.2 и Atom 1.32.0-beta3. Пользователям настоятельно рекомендуется обновиться до последних версий.

Источник

Автор: Сергей Куприянов
8.10.2018 (21:46)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome

Все права защищены © 2010-2024

"alterprogs.com" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.com. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.