For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00662
Identificador(es)
ASA-2019-00662, CVE-2019-1349
Título
A clonagem recursiva do submódulo permite usar o diretório git duas vezes com o nome do diretório sinônimo escrito em .git/
Fabricante(s)
the Git project
Produto(s)
Git
Versão(ões) afetada(s)
Git versões 2.24.x anteriores à 2.24.1
Git versões 2.23.x anteriores à 2.23.1
Git versões 2.22.x anteriores à 2.22.2
Git versões 2.21.x anteriores à 2.21.1
Git versões 2.20.x anteriores à 2.20.2
Git versões 2.19.x anteriores à 2.19.3
Git versões 2.18.x anteriores à 2.18.2
Git versões 2.17.x anteriores à 2.17.3
Git versões 2.16.x anteriores à 2.16.6
Git versões 2.15.x anteriores à 2.15.4
Git versões 2.14.x anteriores à 2.14.6
Versão(ões) corrigida(s)
Git versão 2.24.1
Git versão 2.23.1
Git versão 2.22.2
Git versão 2.21.1
Git versão 2.20.2
Git versão 2.19.3
Git versão 2.18.2
Git versão 2.17.3
Git versão 2.16.6
Git versão 2.15.4
Git versão 2.14.6
Git versões com o seguinte commit:
clone –recurse-submodules: prevent name squatting on Windows
https://git.kernel.org/pub/scm/git/git.git/commit/?id=0060fd1511b94c918928fa3708f69a3f33895a4a
Prova de Conceito
Desconhecido
Descrição
Quando os submódulos são clonados recursivamente, sob certas circunstâncias, o Git pode ser enganado usando o mesmo diretório Git duas vezes.
Ao usar caminhos de submódulo que se referem à mesma entidade do sistema de arquivos (por exemplo, usando o ataque NTFS Alternate Data Streams mencionado em CVE-2019-1352, onde os arquivos seriam gravados no diretório `.git /` usando um nome de diretório sinônimo), era possível ocupar o nome abreviado `git~1` nas unidades NTFS, abrindo ataques via `git~2`. Isso também afeta o Git quando executado como um aplicativo Linux dentro do Windows Subsystem for Linux.
Detalhes técnicos
Desconhecido
Créditos
Christopher Ertl (Microsoft Corporation) e Nicolas Joly (Microsoft Corporation)
Referência(s)
[ANNOUNCE] Git v2.24.1 and others
https://lkml.org/lkml/2019/12/10/905
clone –recurse-submodules: prevent name squatting on Windows
https://git.kernel.org/pub/scm/git/git.git/commit/?id=0060fd1511b94c918928fa3708f69a3f33895a4a
clone –recurse-submodules: prevent name squatting on Windows
https://github.com/git/git/commit/0060fd1511b94c918928fa3708f69a3f33895a4a
read-cache: optionally disallow NTFS .git variants
https://git.kernel.org/pub/scm/git/git.git/commit/?id=2b4c6efc82119ba8f4169717473d95d1a89e4c69
read-cache: optionally disallow NTFS .git variants
https://github.com/git/git/commit/2b4c6efc82119ba8f4169717473d95d1a89e4c69
is_ntfs_dotgit: match other .git files
https://git.kernel.org/pub/scm/git/git.git/commit/?id=e7cb0b4455c85b53aeba40f88ffddcf6d4002498
is_ntfs_dotgit: match other .git files
https://github.com/git/git/commit/e7cb0b4455c85b53aeba40f88ffddcf6d4002498
Visual Studio Icon Visual Studio 2019 version 16.4 Release Notes
https://docs.microsoft.com/en-us/visualstudio/releases/2019/release-notes#security-advisory-notice
CVE-2019-1349 | Git for Visual Studio Remote Code Execution Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1349
Git v2.24.1 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.24.1.txt
Git v2.23.1 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.23.1.txt
Git v2.22.2 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.22.2.txt
Git v2.21.1 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.21.1.txt
Git v2.20.2 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.20.2.txt
Git v2.19.3 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.19.3.txt
Git v2.18.2 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.18.2.txt
Git v2.17.3 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.17.3.txt
Git v2.16.6 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.16.6.txt
Git v2.15.4 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.15.4.txt
Git v2.14.6 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.14.6.txt
CVE-2019-1352
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1352
CVE-2019-1352
https://nvd.nist.gov/vuln/detail/CVE-2019-1352
[archlinux cve=”CVE-2019-1349″]
CVE-2019-1349https://access.redhat.com/security/cve/CVE-2019-1349
CVE-2019-1349
https://security-tracker.debian.org/tracker/CVE-2019-1349
CVE-2019-1349 in Ubuntu
https://people.canonical.com/~ubuntu-security/cve/CVE-2019-1349.html
CVE-2019-1349
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1349
CVE-2019-1349
https://nvd.nist.gov/vuln/detail/CVE-2019-1349
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 12 dezembro 2019