For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00660
Identificador(es)
ASA-2019-00660, CVE-2019-19604
Título
Execução do comando durante atualização do submódulo
Fabricante(s)
the Git project
Produto(s)
Git
Versão(ões) afetada(s)
Git versões 2.24.x anteriores a 2.24.1
Git versões 2.23.x anteriores a 2.23.1
Git versões 2.22.x anteriores a 2.22.2
Git versões 2.21.x anteriores a 2.21.1
Git versões 2.20.x anteriores a 2.20.2
A vulnerabilidade foi introduzida na versão v2.20.0-rc0
Git versões desde o seguinte commit:
submodule–helper: introduce new update-module-mode helper
https://git.kernel.org/pub/scm/git/git.git/commit/?id=ee69b2a9
Versão(ões) corrigida(s)
Git versão 2.24.1
Git versão 2.23.1
Git versão 2.22.2
Git versão 2.21.1
Git versão 2.20.2
Git versões com o seguinte commit:
submodule: reject submodule.update = !command in .gitmodules
https://git.kernel.org/pub/scm/git/git.git/commit/?id=e904deb89d9a9669a76a426182506a084d3f6308
fsck: reject submodule.update = !command in .gitmodules
https://git.kernel.org/pub/scm/git/git.git/commit/?id=bb92255ebe6bccd76227e023d6d0bc997e318ad0
submodule: defend against submodule.update = !command in .gitmodules
https://git.kernel.org/pub/scm/git/git.git/commit/?id=c1547450748fcbac21675f2681506d2d80351a19
Prova de Conceito
Sim
Descrição
A execução arbitrária de comandos é possível no Git porque uma operação “git submodule update” pode executar comandos encontrados no arquivo .gitmodules de um repositório mal-intencionado.
Detalhes técnicos
Desconhecido
Créditos
Joern Schneeweisz (GitLab Security Research Team)
Referência(s)
[ANNOUNCE] Git v2.24.1 and others
https://lkml.org/lkml/2019/12/10/905
add git submodule advisory for CVE-2019-19604
https://gitlab.com/gitlab-com/gl-security/disclosures/blob/master/003_git_submodule/advisory.md
submodule: reject submodule.update = !command in .gitmodules
https://git.kernel.org/pub/scm/git/git.git/commit/?id=e904deb89d9a9669a76a426182506a084d3f6308
fsck: reject submodule.update = !command in .gitmodules
https://git.kernel.org/pub/scm/git/git.git/commit/?id=bb92255ebe6bccd76227e023d6d0bc997e318ad0
submodule: defend against submodule.update = !command in .gitmodules
https://git.kernel.org/pub/scm/git/git.git/commit/?id=c1547450748fcbac21675f2681506d2d80351a19
submodule–helper: introduce new update-module-mode helper
https://git.kernel.org/pub/scm/git/git.git/commit/?id=ee69b2a90c5031bffb3341c5e50653a6ecca89ac
submodule–helper: introduce new update-module-mode helper
https://github.com/git/git/commit/ee69b2a90c5031bffb3341c5e50653a6ecca89ac
Git v2.24.1 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.24.1.txt
Git v2.23.1 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.23.1.txt
Git v2.22.2 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.22.2.txt
Git v2.21.1 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.21.1.txt
Git v2.20.2 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.20.2.txt
[archlinux cve=”CVE-2019-19604″]
CVE-2019-19604https://access.redhat.com/security/cve/CVE-2019-19604
CVE-2019-19604 in Ubuntu
https://people.canonical.com/~ubuntu-security/cve/CVE-2019-19604.html
CVE-2019-19604 | SUSE
https://www.suse.com/security/cve/CVE-2019-19604
CVE-2019-19604
https://security-tracker.debian.org/tracker/CVE-2019-19604
CVE-2019-19604
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19604
CVE-2019-19604
https://nvd.nist.gov/vuln/detail/CVE-2019-19604
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 12 dezembro 2019