СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
08.09.2017
#ИБ

Уязвимость BDU:2017-02354

Уязвимость BDU:2017-02354

Идентификатор: BDU:2017-02354.

Наименование уязвимости: Уязвимость распределенной системы управления версиями Git, связанная с недостаточной проверкой вводимых данных, позволяющая нарушителю выполнить произвольные команды операционной системы.

Описание уязвимости: Уязвимость распределенной системы управления версиями Git связана с использованием небезопасных скриптов Perl для поддержки подкоманд (например, cvsserver). Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды операционной системы от имени пользователя git
Уязвимое ПО: Прикладное ПО информационных систем Linus Torvalds, Junio Hamano Git до 2.10.5 | Прикладное ПО информационных систем Linus Torvalds, Junio Hamano Git от 2.11 до 2.11.4 | Прикладное ПО информационных систем Linus Torvalds, Junio Hamano Git от 2.12 до 12.12.5 | Прикладное ПО информационных систем Linus Torvalds, Junio Hamano Git от 2.13 до 2.13.6 | Прикладное ПО информационных систем Linus Torvalds, Junio Hamano Git от 2.14 до 2.14.2 | Операционная система Debian GNU/Linux 9 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» | Операционная система Debian GNU/Linux 8 |

Наименование ОС и тип аппаратной платформы: Debian GNU/Linux 9 | Astra Linux Special Edition 16 «Смоленск» | Debian GNU/Linux 8 |
Дата выявления: 08.09.2017.
CVSS 2.0: AV:N/AC:L/Au:S/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению:
Использование рекомендаций:
Для Git:
https://public-inbox.org/git/xmqqy3p29ekj.fsfgitster.mtv.corp.google.com/T/#u

Для Debian:

https://lists.debian.org/debian-security-announce/2017/msg00246.html

Для Astra Linux:
Обновление программного обеспечения (пакета git) до 1:2.11.0-3+deb9u2 или более поздней версии.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2017-14867. Security Tracker ID:1039431. BID ID:101060.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
http://www.openwall.com/lists/oss-security/2017/09/26/9
http://www.securityfocus.com/bid/101060
http://www.securitytracker.com/id/1039431
https://bugs.debian.org/876854
https://lists.debian.org/debian-security-announce/2017/msg00246.html
https://public-inbox.org/git/xmqqy3p29ekj.fsfgitster.mtv.corp.google.com/T/#u
https://www.debian.org/security/2017/dsa-3984
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20201207SE16MD

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: