ASA-2019-00668 – Git: Execução Remota de código (RCE) em clones recursivos

Atualmente, os clones recursivos são afetados por uma vulnerabilidade que é causada pela validação excessivamente relaxada dos nomes dos sub-módulos, permitindo ataques direcionados via execução remota de código em clones recursivos.

ASA-2019-00662 – Git: A clonagem recursiva do submódulo permite usar o diretório git duas vezes com o nome do diretório sinônimo escrito em .git/

Quando os submódulos são clonados recursivamente, sob certas circunstâncias, o Git pode ser enganado usando o mesmo diretório Git duas vezes. Ao usar caminhos de submódulo que se referem à mesma entidade do sistema de arquivos (por exemplo, usando o ataque NTFS Alternate Data Streams mencionado em CVE-2019-1352, onde os arquivos seriam gravados no diretório `.git /` usando um nome de diretório sinônimo), era possível ocupar o nome abreviado `git~1` nas unidades NTFS, abrindo ataques via `git~2`. Isso também afeta o Git quando executado como um aplicativo Linux dentro do Windows Subsystem for Linux.