ГлавнаяБаза уязвимостей БДУ → BDU:2017-02354
9высокая

BDU:2017-02354

Уязвимость распределенной системы управления версиями Git, связанная с недостаточной проверкой вводимых данных, позволяющая нарушителю выполнить произвольные команды операционной системы
Опубликовано: 2017-11-03
Описание

Уязвимость распределенной системы управления версиями Git связана с использованием небезопасных скриптов Perl для поддержки подкоманд (например, cvsserver). Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды операционной системы от имени пользователя git

Затрагиваемое ПО и версии
Git (до 2.10.5)Git (от 2.11 до 2.11.4)Git (от 2.12 до 12.12.5)Git (от 2.13 до 2.13.6)Git (от 2.14 до 2.14.2)Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)Debian GNU/Linux (8)
Способ устранения

Использование рекомендаций:
Для Git:
https://public-inbox.org/git/xmqqy3p29ekj.fsfgitster.mtv.corp.google.com/T/#u

Для Debian:

https://lists.debian.org/debian-security-announce/2017/msg00246.html

Для Astra Linux:
Обновление программного обеспечения (пакета git) до 1:2.11.0-3+deb9u2 или более поздней версии

Оценка CVSS
Балл9 — высокая опасность
Источники и патчи
http://www.openwall.com/lists/oss-security/2017/09/26/9http://www.securityfocus.com/bid/101060http://www.securitytracker.com/id/1039431https://bugs.debian.org/876854https://lists.debian.org/debian-security-announce/2017/msg00246.htmlhttps://public-inbox.org/git/xmqqy3p29ekj.fsfgitster.mtv.corp.google.com/T/#uhttps://www.debian.org/security/2017/dsa-3984https://wiki.astralinux.ru/astra-linux-se16-bulletin-20201207SE16MD
Проверьте безопасность своего сайта и почты → Полная проверка домена