ASA-2019-00665 – Git: Os arquivos dentro do diretório .git podem ser substituídos durante a clonagem via NTFS Alternate Data Streams


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00665

Identificador(es)

ASA-2019-00665, CVE-2019-1352

Título

Os arquivos dentro do diretório .git podem ser substituídos durante a clonagem via NTFS Alternate Data Streams

Fabricante(s)

the Git project

Produto(s)

Git

Versão(ões) afetada(s)

Git versões 2.24.x anteriores à 2.24.1
Git versões 2.23.x anteriores à 2.23.1
Git versões 2.22.x anteriores à 2.22.2
Git versões 2.21.x anteriores à 2.21.1
Git versões 2.20.x anteriores à 2.20.2
Git versões 2.19.x anteriores à 2.19.3
Git versões 2.18.x anteriores à 2.18.2
Git versões 2.17.x anteriores à 2.17.3
Git versões 2.16.x anteriores à 2.16.6
Git versões 2.15.x anteriores à 2.15.4
Git versões 2.14.x anteriores à 2.14.6

Versão(ões) corrigida(s)

Git versão 2.24.1
Git versão 2.23.1
Git versão 2.22.2
Git versão 2.21.1
Git versão 2.20.2
Git versão 2.19.3
Git versão 2.18.2
Git versão 2.17.3
Git versão 2.16.6
Git versão 2.15.4
Git versão 2.14.6

Git versões com o seguinte commit:

path: safeguard .git against NTFS Alternate Streams Accesses
https://git.kernel.org/pub/scm/git/git.git/commit/?id=7c3745fc6185495d5765628b4dfe1bd2c25a2981

Prova de Conceito

Desconhecido

Descrição

O Git não estava ciente de NTFS Alternate Data Streams, permitindo que os arquivos dentro do diretório .git/ fossem substituídos durante um clone.

Detalhes técnicos

Desconhecido

Créditos

Christopher Ertl (Microsoft Corporation) e Nicolas Joly (Microsoft Corporation)

Referência(s)

[ANNOUNCE] Git v2.24.1 and others
https://lkml.org/lkml/2019/12/10/905

path: safeguard .git against NTFS Alternate Streams Accesses
https://git.kernel.org/pub/scm/git/git.git/commit/?id=7c3745fc6185495d5765628b4dfe1bd2c25a2981

path: safeguard .git against NTFS Alternate Streams Accesses
https://github.com/git/git/commit/7c3745fc6185495d5765628b4dfe1bd2c25a2981

[MS-FSCC]: NTFS Streams
https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-fscc/c54dec26-1551-4d3a-a0ea-4fa40f848eb3

Visual Studio Icon Visual Studio 2019 version 16.4 Release Notes
https://docs.microsoft.com/en-us/visualstudio/releases/2019/release-notes#security-advisory-notice

CVE-2019-1352 | Git for Visual Studio Remote Code Execution Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1352

Git v2.24.1 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.24.1.txt

Git v2.23.1 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.23.1.txt

Git v2.22.2 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.22.2.txt

Git v2.21.1 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.21.1.txt

Git v2.20.2 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.20.2.txt

Git v2.19.3 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.19.3.txt

Git v2.18.2 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.18.2.txt

Git v2.17.3 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.17.3.txt

Git v2.16.6 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.16.6.txt

Git v2.15.4 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.15.4.txt

Git v2.14.6 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.14.6.txt

[archlinux cve=”CVE-2019-1352″]

CVE-2019-1352
https://access.redhat.com/security/cve/CVE-2019-1352

CVE-2019-1352
https://security-tracker.debian.org/tracker/CVE-2019-1352

CVE-2019-1352 in Ubuntu
https://people.canonical.com/~ubuntu-security/cve/CVE-2019-1352.html

CVE-2019-1352
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1352

CVE-2019-1352
https://nvd.nist.gov/vuln/detail/CVE-2019-1352

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 12 dezembro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.