ГлавнаяБаза уязвимостей БДУ → BDU:2023-06208
10критическая

BDU:2023-06208

Уязвимость классов DirCacheCheckout, ResolveMerger, PullCommand и PatchApplier системы контроля версий Git на языке Java Eclipse JGit, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2023-10-03
Описание

Уязвимость классов DirCacheCheckout, ResolveMerger, PullCommand и PatchApplier системы контроля версий Git на языке Java Eclipse JGit связана с неправильной обработкой данных, чувствительных к регистру при клонировании репозиториев в файловую систему. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Затрагиваемое ПО и версии
Eclipse JGit (от 6.7.0 до 6.7.0.202309050840-r)Eclipse JGit (от 6.6.1 до 6.6.1.202309021850-r)
Способ устранения

Компенсирующие меры:
Установка параметра конфигурации git core.symlinks = false перед проверкой позволяет избежать этой проблемы.

Использование рекомендаций:
Для Eclipse JGit:
https://git.eclipse.org/c/jgit/jgit.git/commit/?id=9072103f3b3cf64dd12ad2949836ab98f62dabf1
https://repo.eclipse.org/content/groups/releases/org/eclipse/jgit/org.eclipse.jgit.repository/6.6.1.202309021850-r/
https://mvnrepository.com/artifact/org.eclipse.jgit/org.eclipse.jgit/6.6.1.202309021850-r
https://mvnrepository.com/artifact/org.eclipse.jgit/org.eclipse.jgit/6.7.0.202309050840-r
https://mvnrepository.com/artifact/org.eclipse.jgit/org.eclipse.jgit
https://projects.eclipse.org/projects/technology.jgit/releases/6.6.1
https://gitlab.eclipse.org/security/vulnerability-reports/-/issues/11

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://git.eclipse.org/c/jgit/jgit.git/commit/?id=9072103f3b3cf64dd12ad2949836ab98f62dabf1https://gitlab.eclipse.org/security/vulnerability-reports/-/issues/11https://projects.eclipse.org/projects/technology.jgit/releases/6.6.1https://vuldb.com/ru/?id.239484
Проверьте безопасность своего сайта и почты → Полная проверка домена