ASA-2019-00661 – Git: Sobrescrita de caminho arbitrário via opção de comando export-marks


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00661

Identificador(es)

ASA-2019-00661, CVE-2019-1348

Título

Sobrescrita de caminho arbitrário via opção de comando export-marks

Fabricante(s)

the Git project

Produto(s)

Git

Versão(ões) afetada(s)

Git versões 2.24.x anteriores à 2.24.1
Git versões 2.23.x anteriores à 2.23.1
Git versões 2.22.x anteriores à 2.22.2
Git versões 2.21.x anteriores à 2.21.1
Git versões 2.20.x anteriores à 2.20.2
Git versões 2.19.x anteriores à 2.19.3
Git versões 2.18.x anteriores à 2.18.2
Git versões 2.17.x anteriores à 2.17.3
Git versões 2.16.x anteriores à 2.16.6
Git versões 2.15.x anteriores à 2.15.4
Git versões 2.14.x anteriores à 2.14.6

Versão(ões) corrigida(s)

Git versão 2.24.1
Git versão 2.23.1
Git versão 2.22.2
Git versão 2.21.1
Git versão 2.20.2
Git versão 2.19.3
Git versão 2.18.2
Git versão 2.17.3
Git versão 2.16.6
Git versão 2.15.4
Git versão 2.14.6

Git versões com o seguinte commit aplicado:

fast-import: disallow “feature export-marks” by default
https://git.kernel.org/pub/scm/git/git.git/commit/?id=68061e3470210703cb15594194718d35094afdc0

Prova de Conceito

Desconhecido

Descrição

A opção –export-marks do git fast-import também é exposta pelo recurso de comando in-stream export-marks=… e permite sobrescrever caminhos arbitrários.

Detalhes técnicos

Desconhecido

Créditos

Desconhecido

Referência(s)

[ANNOUNCE] Git v2.24.1 and others
https://lkml.org/lkml/2019/12/10/905

fast-import: disallow “feature export-marks” by default
https://git.kernel.org/pub/scm/git/git.git/commit/?id=68061e3470210703cb15594194718d35094afdc0

fast-import: disallow “feature export-marks” by default
https://github.com/git/git/commit/68061e3470210703cb15594194718d35094afdc0

Git v2.24.1 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.24.1.txt

Git v2.23.1 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.23.1.txt

Git v2.22.2 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.22.2.txt

Git v2.21.1 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.21.1.txt

Git v2.20.2 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.20.2.txt

Git v2.19.3 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.19.3.txt

Git v2.18.2 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.18.2.txt

Git v2.17.3 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.17.3.txt

Git v2.16.6 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.16.6.txt

Git v2.15.4 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.15.4.txt

Git v2.14.6 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.14.6.txt

[archlinux cve=”CVE-2019-1348″]

CVE-2019-1348
https://access.redhat.com/security/cve/CVE-2019-1348

CVE-2019-1348 in Ubuntu
https://people.canonical.com/~ubuntu-security/cve/CVE-2019-1348.html

CVE-2019-1348
https://security-tracker.debian.org/tracker/CVE-2019-1348

CVE-2019-1348
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1348

CVE-2019-1348
https://nvd.nist.gov/vuln/detail/CVE-2019-1348

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 12 dezembro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.