ГлавнаяБаза уязвимостей БДУ → BDU:2020-01903
5средняя

BDU:2020-01903 (CVE-2020-5260)

Уязвимость компонента «credential.helper» распределенной системы управления версиями Git, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
Опубликовано: 2020-05-07
Описание

Уязвимость компонента «credential.helper» распределенной системы управления версиями Git существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации с помощью специально сформированного URL, содержащего символ новой строки, пустой хост или не указанную схему запроса

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Ubuntu (16.04 LTS)Astra Linux Special Edition (1.5 «Смоленск»)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Astra Linux Common Edition (2.12 «Орёл»)Red Hat Enterprise Linux (8)OpenSUSE Leap (15.1)Fedora (30)Debian GNU/Linux (8)Debian GNU/Linux (10)Fedora (31)Ubuntu (19.10)РЕД ОС (до 7.2 Муром)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Fedora (32)Red Hat Enterprise Linux (8.0 Update Services for SAP Solutions)Git (до 2.26.2)UBLinux (до 21.01)Альт 8 СПОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для Git:
https://github.com/git/git/commit/9a6bbee8006c24b46a85d29e7b38cfa79e9ab21b
https://github.com/git/git/security/advisories/GHSA-qm7j-c969-7j4q

Для РЕД ОС:
Обновление программного обеспечения до актуальной версии

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2020-04/msg00027.html
https://lists.opensuse.org/opensuse-security-announce/2020-05/msg00003.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-5260

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/74Q7WVJ6FKLIN62VS2JD2XCNWK5TNKOW/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7TVS5UG6JD3MYIGSBKMIOS6AF7CR5IPI/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MOCTR2SEHCPSCOVUQJAGFPGKFMI2VE6V/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PN3FUOXKX3AXTULYV53ACABER2W2FSOU/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/XPCEOIFLLEF24L6GLVJVFZX4CREDEHDF/

Для Ubuntu:
https://usn.ubuntu.com/4329-1/

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2020-5260

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81

Для UBLinux:

https://security.ublinux.ru/ASA-202004-13/generate

Для ОС ОН «Стрелец»:
Обновление программного обеспечения git до версии 1:2.30.2-1.strelets1

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Оценка CVSS
Балл5 — средняя опасность
Источники и патчи
https://access.redhat.com/security/cve/cve-2020-5260https://github.com/git/git/commit/9a6bbee8006c24b46a85d29e7b38cfa79e9ab21bhttps://github.com/git/git/security/advisories/GHSA-qm7j-c969-7j4qhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/74Q7WVJ6FKLIN62VS2JD2XCNWK5TNKOW/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7TVS5UG6JD3MYIGSBKMIOS6AF7CR5IPI/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MOCTR2SEHCPSCOVUQJAGFPGKFMI2VE6V/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PN3FUOXKX3AXTULYV53ACABER2W2FSOU/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/XPCEOIFLLEF24L6GLVJVFZX4CREDEHDF/
Проверьте безопасность своего сайта и почты → Полная проверка домена