Уязвимость BDU:2020-01903

Дата: 14.04.2020. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2020-01903.

Наименование уязвимости: Уязвимость компонента «credential.helper» распределенной системы управления версиями Git, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации.

Описание уязвимости: Уязвимость компонента «credential.helper» распределенной системы управления версиями Git существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации с помощью специально сформированного URL, содержащего символ новой строки, пустой хост или не указанную схему запроса
Уязвимое ПО: Операционная система ООО «РусБИТех-Астра» Astra Linux 1.5 «Смоленск» | Операционная система Red Hat Inc. Red Hat Enterprise Linux 7 | Операционная система Canonical Ltd. Ubuntu 16.04 LTS | Операционная система Canonical Ltd. Ubuntu 18.04 LTS | Операционная система ООО «РусБИТех-Астра» Astra Linux 1.6 «Смоленск» | Операционная система Debian GNU/Linux 8.0 | Операционная система Debian GNU/Linux 9.0 | Операционная система Red Hat Inc. Red Hat Enterprise Linux 8 | Операционная система Novell Inc. OpenSUSE Leap 15.1 | Операционная система Fedora Project Fedora 30 | Операционная система Debian GNU/Linux 10.0 | Операционная система Fedora Project Fedora 31 | Операционная система Canonical Ltd. Ubuntu 19.10 | Операционная система ООО «Ред Софт» РЕД ОС до 7.2 Муром | Операционная система Fedora Project Fedora 32 | Операционная система Red Hat Inc. Red Hat Enterprise Linux 8.0 Update Services for SAP Solutions | Прикладное ПО информационных систем Linus Torvalds, Junio Hamano Git до 2.26.2 |

Наименование ОС и тип аппаратной платформы: Astra Linux 15 «Смоленск» | Red Hat Enterprise Linux 7 | Ubuntu 1604 LTS | Ubuntu 1804 LTS | Astra Linux 16 «Смоленск» | Debian GNU/Linux 80 | Debian GNU/Linux 90 | Red Hat Enterprise Linux 8 | OpenSUSE Leap 151 | Fedora 30 | Debian GNU/Linux 100 | Fedora 31 | Ubuntu 1910 | РЕД ОС до 72 Муром | Fedora 32 | Red Hat Enterprise Linux 80 Update Services for SAP Solutions |
Дата выявления: 14.04.2020.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:N/A:N
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению:
Использование рекомендаций:
Для Git:
https://github.com/git/git/commit/9a6bbee8006c24b46a85d29e7b38cfa79e9ab21b
https://github.com/git/git/security/advisories/GHSA-qm7j-c969-7j4q

Для РЕД ОС:
Обновление программного обеспечения до актуальной версии

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2020-04/msg00027.html
https://lists.opensuse.org/opensuse-security-announce/2020-05/msg00003.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-5260

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2020-5260
https://www.debian.org/security/2020/dsa-4657

Для Fedora:
https://lists.fedoraproject.org/archives/list/[email protected]/message/74Q7WVJ6FKLIN62VS2JD2XCNWK5TNKOW/
https://lists.fedoraproject.org/archives/list/[email protected]/message/7TVS5UG6JD3MYIGSBKMIOS6AF7CR5IPI/
https://lists.fedoraproject.org/archives/list/[email protected]/message/MOCTR2SEHCPSCOVUQJAGFPGKFMI2VE6V/
https://lists.fedoraproject.org/archives/list/[email protected]/message/PN3FUOXKX3AXTULYV53ACABER2W2FSOU/
https://lists.fedoraproject.org/archives/list/[email protected]/message/XPCEOIFLLEF24L6GLVJVFZX4CREDEHDF/

Для Ubuntu:
https://usn.ubuntu.com/4329-1/

Для Astra Linux:
Обновление программного обеспечения (пакета git) до 1:2.20.1-2+deb10u2 или более поздней версии
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2020-5260.

Тип ошибки CWE: CWE-20, CWE-522
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://github.com/git/git/commit/9a6bbee8006c24b46a85d29e7b38cfa79e9ab21b
https://github.com/git/git/security/advisories/GHSA-qm7j-c969-7j4q
https://lists.opensuse.org/opensuse-security-announce/2020-04/msg00027.html
https://lists.opensuse.org/opensuse-security-announce/2020-05/msg00003.html
https://access.redhat.com/security/cve/cve-2020-5260
https://security-tracker.debian.org/tracker/CVE-2020-5260
https://www.debian.org/security/2020/dsa-4657
https://lists.fedoraproject.org/archives/list/[email protected]/message/74Q7WVJ6FKLIN62VS2JD2XCNWK5TNKOW/
https://lists.fedoraproject.org/archives/list/[email protected]/message/7TVS5UG6JD3MYIGSBKMIOS6AF7CR5IPI/
https://lists.fedoraproject.org/archives/list/[email protected]/message/MOCTR2SEHCPSCOVUQJAGFPGKFMI2VE6V/
https://lists.fedoraproject.org/archives/list/[email protected]/message/PN3FUOXKX3AXTULYV53ACABER2W2FSOU/
https://lists.fedoraproject.org/archives/list/[email protected]/message/XPCEOIFLLEF24L6GLVJVFZX4CREDEHDF/
https://usn.ubuntu.com/4329-1/
https://www.opennet.ru/opennews/art.shtml?num=52734
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20201207SE16MD
https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15

ФСТЭК России

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *