ГлавнаяБаза уязвимостей БДУ → BDU:2020-01904
5средняя

BDU:2020-01904 (CVE-2020-11008)

Уязвимость компонента «credential.helper» распределенной системы управления версиями Git, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить доступ к конфиденциальным данным
Опубликовано: 2020-05-07
Описание

Уязвимость компонента «credential.helper» распределенной системы управления версиями Git связана с недостаточной защитой регистрационных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации с помощью специально сформированного URL, содержащего символ новой строки, пустой хост или не указанную схему запроса

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Ubuntu (16.04 LTS)Astra Linux Special Edition (1.5 «Смоленск»)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Astra Linux Common Edition (2.12 «Орёл»)Red Hat Enterprise Linux (8)OpenSUSE Leap (15.1)Fedora (30)Debian GNU/Linux (8)Debian GNU/Linux (10)Fedora (31)Red Hat Software CollectionsUbuntu (19.10)РЕД ОС (до 7.2 Муром)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Fedora (32)Red Hat Enterprise Linux (8.0 Update Services for SAP Solutions)Git (до 2.26.2)Git (до 2.17.5)Git (от 2.18.0 до 2.18.4)Git (от 2.19.0 до 2.19.5)Git (от 2.20.0 до 2.20.4)Git (от 2.21.0 до 2.21.3)UBLinux (до 21.01)Альт 8 СПОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для Git:
https://github.com/git/git/commit/c44088ecc4b0722636e0a305f9608d3047197282
https://github.com/git/git/security/advisories/GHSA-hjc9-x69f-jqj7
https://github.com/git/git/security/advisories/GHSA-qm7j-c969-7j4q

Для РЕД ОС:
Обновление программного обеспечения до актуальной версии

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2020-05/msg00003.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-11008

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2020-11008
https://lists.debian.org/debian-lts-announce/2020/04/msg00015.html

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/74Q7WVJ6FKLIN62VS2JD2XCNWK5TNKOW/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MOCTR2SEHCPSCOVUQJAGFPGKFMI2VE6V/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PN3FUOXKX3AXTULYV53ACABER2W2FSOU/

Для Ubuntu:
https://usn.ubuntu.com/4334-1/

Для Astra Linux:
Обновление программного обеспечения (пакета git) до 1:2.20.1-2+deb10u2 или более поздней версии
Использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81

Для UBLinux:

https://security.ublinux.ru/ASA-202004-21/generate

Для ОС ОН «Стрелец»:
Обновление программного обеспечения git до версии 1:2.30.2-1.strelets1

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Оценка CVSS
Балл5 — средняя опасность
Источники и патчи
https://access.redhat.com/security/cve/cve-2020-11008https://github.com/git/git/commit/c44088ecc4b0722636e0a305f9608d3047197282https://github.com/git/git/security/advisories/GHSA-hjc9-x69f-jqj7https://github.com/git/git/security/advisories/GHSA-qm7j-c969-7j4qhttps://lists.debian.org/debian-lts-announce/2020/04/msg00015.htmlhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/74Q7WVJ6FKLIN62VS2JD2XCNWK5TNKOW/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MOCTR2SEHCPSCOVUQJAGFPGKFMI2VE6V/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PN3FUOXKX3AXTULYV53ACABER2W2FSOU/
Проверьте безопасность своего сайта и почты → Полная проверка домена