Összefoglaló
A Git két sérülékenységét jelentették, amiket kihasználva a támadók bizalmas információkat szerezhetnek, vagy tetszőleges kódot futtathatnak a rendszeren.
Leírás
- A szoftver nem megfelelően ellenőrzi a “names” almodult, ami egy nem megbízható .gitmodules állomány ‘$GIT_DIR/modules’ könyvtárba való feltöltésekor következik be. Ennek következtében egy távoli repository létre tud hozni vagy felül tud írni fájlokat speciálisan megszerkesztett tartalommal a klónozás folyamata során, ami pedig tetszőleges kód végrehajtását eredményezheti.
- Az NTFS alapú fájlrendszerek elérési útvonalak feldolgozásában lévő hibát kihasználva illetéktelenül lehet olvasni a memóriából.
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of integrity (Sértetlenség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: securitytracker.com
CVE-2018-11235 - NVD CVE-2018-11235
CVE-2018-11233 - NVD CVE-2018-11233