For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00668
Identificador(es)
ASA-2019-00668, CVE-2019-1387
Título
Execução Remota de código (RCE) em clones recursivos
Fabricante(s)
the Git project
Produto(s)
Git
Versão(ões) afetada(s)
Git versões 2.24.x anteriores à 2.24.1
Git versões 2.23.x anteriores à 2.23.1
Git versões 2.22.x anteriores à 2.22.2
Git versões 2.21.x anteriores à 2.21.1
Git versões 2.20.x anteriores à 2.20.2
Git versões 2.19.x anteriores à 2.19.3
Git versões 2.18.x anteriores à 2.18.2
Git versões 2.17.x anteriores à 2.17.3
Git versões 2.16.x anteriores à 2.16.6
Git versões 2.15.x anteriores à 2.15.4
Git versões 2.14.x anteriores à 2.14.6
Versão(ões) corrigida(s)
Git versão 2.24.1
Git versão 2.23.1
Git versão 2.22.2
Git versão 2.21.1
Git versão 2.20.2
Git versão 2.19.3
Git versão 2.18.2
Git versão 2.17.3
Git versão 2.16.6
Git versão 2.15.4
Git versão 2.14.6
Git versões com o seguinte commit:
Disallow dubiously-nested submodule git directories
https://git.kernel.org/pub/scm/git/git.git/commit/?id=a8dee3ca610f5a1d403634492136c887f83b59d2
Prova de Conceito
Desconhecido
Descrição
Atualmente, os clones recursivos são afetados por uma vulnerabilidade que é causada pela validação excessivamente relaxada dos nomes dos sub-módulos, permitindo ataques direcionados via execução remota de código em clones recursivos.
Detalhes técnicos
Desconhecido
Créditos
Christopher Ertl (Microsoft Corporation) e Nicolas Joly (Microsoft Corporation)
Referência(s)
[ANNOUNCE] Git v2.24.1 and others
https://lkml.org/lkml/2019/12/10/905
Disallow dubiously-nested submodule git directories
https://git.kernel.org/pub/scm/git/git.git/commit/?id=a8dee3ca610f5a1d403634492136c887f83b59d2
Disallow dubiously-nested submodule git directories
https://github.com/git/git/commit/a8dee3ca610f5a1d403634492136c887f83b59d2
Visual Studio Icon Visual Studio 2019 version 16.4 Release Notes
https://docs.microsoft.com/en-us/visualstudio/releases/2019/release-notes#security-advisory-notice
CVE-2019-1387 | Git for Visual Studio Remote Code Execution Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1387
Git v2.24.1 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.24.1.txt
Git v2.23.1 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.23.1.txt
Git v2.22.2 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.22.2.txt
Git v2.21.1 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.21.1.txt
Git v2.20.2 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.20.2.txt
Git v2.19.3 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.19.3.txt
Git v2.18.2 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.18.2.txt
Git v2.17.3 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.17.3.txt
Git v2.16.6 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.16.6.txt
Git v2.15.4 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.15.4.txt
Git v2.14.6 Release Notes
https://github.com/git/git/blob/master/Documentation/RelNotes/2.14.6.txt
[archlinux cve=”CVE-2019-1387″]
CVE-2019-1387https://access.redhat.com/security/cve/CVE-2019-1387
CVE-2019-1387
https://security-tracker.debian.org/tracker/CVE-2019-1387
CVE-2019-1387 in Ubuntu
https://people.canonical.com/~ubuntu-security/cve/CVE-2019-1387.html
CVE-2019-1387
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1387
CVE-2019-1387
https://nvd.nist.gov/vuln/detail/CVE-2019-1387
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 12 dezembro 2019