ASA-2019-00660 – Git: Execução do comando durante atualização do submódulo


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00660

Identificador(es)

ASA-2019-00660, CVE-2019-19604

Título

Execução do comando durante atualização do submódulo

Fabricante(s)

the Git project

Produto(s)

Git

Versão(ões) afetada(s)

Git versões 2.24.x anteriores a 2.24.1
Git versões 2.23.x anteriores a 2.23.1
Git versões 2.22.x anteriores a 2.22.2
Git versões 2.21.x anteriores a 2.21.1
Git versões 2.20.x anteriores a 2.20.2

A vulnerabilidade foi introduzida na versão v2.20.0-rc0

Git versões desde o seguinte commit:

submodule–helper: introduce new update-module-mode helper
https://git.kernel.org/pub/scm/git/git.git/commit/?id=ee69b2a9

Versão(ões) corrigida(s)

Git versão 2.24.1
Git versão 2.23.1
Git versão 2.22.2
Git versão 2.21.1
Git versão 2.20.2

Git versões com o seguinte commit:

submodule: reject submodule.update = !command in .gitmodules
https://git.kernel.org/pub/scm/git/git.git/commit/?id=e904deb89d9a9669a76a426182506a084d3f6308

fsck: reject submodule.update = !command in .gitmodules
https://git.kernel.org/pub/scm/git/git.git/commit/?id=bb92255ebe6bccd76227e023d6d0bc997e318ad0

submodule: defend against submodule.update = !command in .gitmodules
https://git.kernel.org/pub/scm/git/git.git/commit/?id=c1547450748fcbac21675f2681506d2d80351a19

Prova de Conceito

Sim

Descrição

A execução arbitrária de comandos é possível no Git porque uma operação “git submodule update” pode executar comandos encontrados no arquivo .gitmodules de um repositório mal-intencionado.

Detalhes técnicos

Desconhecido

Créditos

Joern Schneeweisz (GitLab Security Research Team)

Referência(s)

[ANNOUNCE] Git v2.24.1 and others
https://lkml.org/lkml/2019/12/10/905

add git submodule advisory for CVE-2019-19604
https://gitlab.com/gitlab-com/gl-security/disclosures/blob/master/003_git_submodule/advisory.md

submodule: reject submodule.update = !command in .gitmodules
https://git.kernel.org/pub/scm/git/git.git/commit/?id=e904deb89d9a9669a76a426182506a084d3f6308

fsck: reject submodule.update = !command in .gitmodules
https://git.kernel.org/pub/scm/git/git.git/commit/?id=bb92255ebe6bccd76227e023d6d0bc997e318ad0

submodule: defend against submodule.update = !command in .gitmodules
https://git.kernel.org/pub/scm/git/git.git/commit/?id=c1547450748fcbac21675f2681506d2d80351a19

submodule–helper: introduce new update-module-mode helper
https://git.kernel.org/pub/scm/git/git.git/commit/?id=ee69b2a90c5031bffb3341c5e50653a6ecca89ac

submodule–helper: introduce new update-module-mode helper
https://github.com/git/git/commit/ee69b2a90c5031bffb3341c5e50653a6ecca89ac

Git v2.24.1 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.24.1.txt

Git v2.23.1 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.23.1.txt

Git v2.22.2 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.22.2.txt

Git v2.21.1 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.21.1.txt

Git v2.20.2 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.20.2.txt

[archlinux cve=”CVE-2019-19604″]

CVE-2019-19604
https://access.redhat.com/security/cve/CVE-2019-19604

CVE-2019-19604 in Ubuntu
https://people.canonical.com/~ubuntu-security/cve/CVE-2019-19604.html

CVE-2019-19604 | SUSE
https://www.suse.com/security/cve/CVE-2019-19604

CVE-2019-19604
https://security-tracker.debian.org/tracker/CVE-2019-19604

CVE-2019-19604
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19604

CVE-2019-19604
https://nvd.nist.gov/vuln/detail/CVE-2019-19604

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 12 dezembro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.