ГлавнаяБаза уязвимостей БДУ → BDU:2024-05765
9критическая

BDU:2024-05765

Уязвимость программного средства создания самоуправляемых Git-репозиториев Gogs, связанная с внедрением или модификацией аргументов, позволяющая нарушителю выполнять произвольные команды
Опубликовано: 2024-07-29
Описание

Уязвимость программного средства создания самоуправляемых Git-репозиториев Gogs связана с внедрением или модификацией аргументов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнять произвольные команды

Затрагиваемое ПО и версии
Gogs (до 0.13.0 включительно)
Способ устранения

Компенсирующие меры:
1. Отключение встроенного SSH-сервер.
Для этого необходимо внести следующие изменения в файл app.ini:
[server]
START_SSH_SERVER = false

2. Полное отключение службы SSH.
Для этого необходимо внести следующие изменения в файл app.ini:
[server]
DISABLE_SSH = true

3. Отключение функции регистрации новых пользователей.
Для этого необходимо внести следующие изменения в файл app.ini:
[auth]
DISABLE_REGISTRATION = true

Применение патча от исследователей SonarSource, только после оценки всех сопутствующих рисков:
https://gist.githubusercontent.com/paul-gerste-sonarsource/207f5dc79f59bb256a0bfccda4e3e92b/raw/Gogs-security-fixes-by-Sonar.patch

Оценка CVSS
Балл9 — критическая опасность
Источники и патчи
https://security.snyk.io/vuln/SNYK-GOLANG-GOGSIOGOGSINTERNALSSH-7424597https://gist.githubusercontent.com/paul-gerste-sonarsource/207f5dc79f59bb256a0bfccda4e3e92b/raw/Gogs-security-fixes-by-Sonar.patchhttps://www.securitylab.ru/news/549911.phphttps://www.sonarsource.com/blog/securing-developer-tools-unpatched-code-vulnerabilities-in-gogs-1/
Проверьте безопасность своего сайта и почты → Полная проверка домена