Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-00423

Опубликовано: 05 окт. 2018
Источник: fstec
CVSS3: 9.8
CVSS2: 7.5
EPSS Высокий

Описание

Уязвимость функционала «git clone» распределенной системы контроля версий Git связана с некорректной обработкой рекурсивной задачи «git clone», примененной к суперпроекту, в котором файл .gitmodules имеет поле URL, начинающееся с символа «-». Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

ООО «РусБИТех-Астра»
Linus Torvalds, Junio Hamano

Наименование ПО

Astra Linux Special Edition
Git

Версия ПО

1.6 «Смоленск» (Astra Linux Special Edition)
до 2.14.5 (Git)
2.15.0 до 2.15.3 (Git)
2.16.0 до 2.16.5 (Git)
2.17.0 до 2.17.2 (Git)
2.18.0 до 2.18.1 (Git)
2.19.0 до 2.19.1 (Git)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Для Git:
Обновление программного обеспечения до 2.19.1 или более поздней версии
Для Astra Linux:
Обновление программного обеспечения (пакета git) до 1:2.1.4-2.1+deb8u7 или более поздней версии

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 99%
0.707
Высокий

9.8 Critical

CVSS3

7.5 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2018-17456

CVSS3: 9.8
ubuntu
около 7 лет назад

Git before 2.14.5, 2.15.x before 2.15.3, 2.16.x before 2.16.5, 2.17.x before 2.17.2, 2.18.x before 2.18.1, and 2.19.x before 2.19.1 allows remote code execution during processing of a recursive "git clone" of a superproject if a .gitmodules file has a URL field beginning with a '-' character.

redhat логотип

CVE-2018-17456

CVSS3: 8.8
redhat
около 7 лет назад

Git before 2.14.5, 2.15.x before 2.15.3, 2.16.x before 2.16.5, 2.17.x before 2.17.2, 2.18.x before 2.18.1, and 2.19.x before 2.19.1 allows remote code execution during processing of a recursive "git clone" of a superproject if a .gitmodules file has a URL field beginning with a '-' character.

nvd логотип

CVE-2018-17456

CVSS3: 9.8
nvd
около 7 лет назад

Git before 2.14.5, 2.15.x before 2.15.3, 2.16.x before 2.16.5, 2.17.x before 2.17.2, 2.18.x before 2.18.1, and 2.19.x before 2.19.1 allows remote code execution during processing of a recursive "git clone" of a superproject if a .gitmodules file has a URL field beginning with a '-' character.

debian логотип

CVE-2018-17456

CVSS3: 9.8
debian
около 7 лет назад

Git before 2.14.5, 2.15.x before 2.15.3, 2.16.x before 2.16.5, 2.17.x ...

suse-cvrf логотип

openSUSE-SU-2018:4051-1

suse-cvrf
почти 7 лет назад

Security update for libgit2

EPSS

Процентиль: 99%
0.707
Высокий

9.8 Critical

CVSS3

7.5 High

CVSS2