Összefoglaló
A Git kliens olyan magas besorolású sérülékenysége vált ismertté, amit kihasználva a nem hitelesített, távoli támadók tetszőleges kódot hajthatnak végre.
Leírás
A sérülékenységet a kliens terminálba a Git szervertől érkezett, ANSI escape kódokat tartalmazó üzenetek nem megfelelő validálása okozza. Ezt kihasználva egy támadó rá tudja venni a Git kliens alkalmazást arra, hogy csatlakozzon, egy káros Git szerverhez. Ezzel lehetőség nyílik arra, hogy a támadó tetszőleges kódot futtasson a kliensben, ami további támadások végrehajtását eredményezhet.
Egy sérülékenységet kihasználó Proof-of-concept kód már nyilvánosságra került.
Megoldás
IsmeretlenTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
CVE-2018-1000021 - NVD CVE-2018-1000021
Egyéb referencia: tools.cisco.com