ГлавнаяБаза уязвимостей БДУ → BDU:2020-01458
9.3высокая

BDU:2020-01458 (CVE-2019-19604)

Уязвимость системы управления версиями GIT, связанная с недостаточной проверкой вводимых данных, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Опубликовано: 2020-04-14
Описание

Уязвимость системы управления версиями GIT связана с некорректным обновлением субмодулей поскольку операция может выполнять команды, найденные в файле .gitmodules вредоносного репозитория. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.5 «Смоленск»)Debian GNU/Linux (9)OpenSUSE Leap (15.1)Fedora (30)Debian GNU/Linux (8)Fedora (31)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Git (до 2.20.0)Git (от 2.21.0 до 2.21.1)Git (от 2.22.0 до 2.22.2)Git (от 2.23.0 до 2.23.1)Git (от 2.24.0 до 2.24.1)Альт 8 СПОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для Git:
Обновление программного обеспечения до 1:2.25.1-1 или более поздней версии

Для Debian:
Обновление программного обеспечения (пакета git) до 1:2.20.1-2+deb10u1 или более поздней версии

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/HCYSSCA5ZTEP46SB4XRPSQGFV2L3NKMZ/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/N6UGTEOXWIYSM5KDZL74QD2GK6YQNQCP/

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2020-01/msg00056.html

Для Astra Linux:
Обновление программного обеспечения (пакета git) до 1:2.11.0-3+deb9u5 или более поздней версии

Для ОС ОН «Стрелец»:
Обновление программного обеспечения git до версии 1:2.30.2-1.strelets1

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Оценка CVSS
Балл9.3 — высокая опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2019-19604https://security-tracker.debian.org/tracker/CVE-2019-19604https://gitlab.com/gitlab-com/gl-security/disclosures/blob/master/003_git_submodule/advisory.mdhttp://lists.opensuse.org/opensuse-security-announce/2020-01/msg00056.htmlhttp://www.openwall.com/lists/oss-security/2019/12/13/1https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/HCYSSCA5ZTEP46SB4XRPSQGFV2L3NKMZ/https://www.debian.org/security/2019/dsa-4581https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/HCYSSCA5ZTEP46SB4XRPSQGFV2L3NKMZ/
Проверьте безопасность своего сайта и почты → Полная проверка домена