Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-01175

Опубликовано: 14 янв. 2025
Источник: fstec
CVSS3: 7.3
CVSS2: 7.5
EPSS Низкий

Описание

Уязвимость компонента ANSI Escape Sequence Handler распределенной системы управления версиями Git связана с недостатком механизма кодирования или экранирования выходных данных. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным

Вендор

ООО «Ред Софт»
ООО «РусБИТех-Астра»
ООО «Юбитех»
Linus Torvalds, Junio Hamano
АО "НППКТ"

Наименование ПО

РЕД ОС
Astra Linux Special Edition
UBLinux
Git
ОСОН ОСнова Оnyx

Версия ПО

7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
1.8 (Astra Linux Special Edition)
до 2405 (UBLinux)
2.48.0 (Git)
2.47.0 (Git)
2.46.2 (Git)
2.45.2 (Git)
2.44.2 (Git)
2.43.5 (Git)
2.42.3 (Git)
2.41.2 (Git)
2.40.3 (Git)
до 2.14 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8
ООО «Юбитех» UBLinux до 2405
АО "НППКТ" ОСОН ОСнова Оnyx до 2.14

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,3)
Низкий уровень опасности (оценка CVSS 4.0 составляет 2,1)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для Git:
https://github.com/git/git/security/advisories/GHSA-hmg8-h7qf-7cxr
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для UBLinux:
https://security.ublinux.ru/CVE-2024-50349
Для ОС Astra Linux:
обновить пакет git до 1:2.43.0-1ubuntu7.2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18
Для ОС Astra Linux:
обновить пакет git до 1:2.30.2-1+deb11u4.astra6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
Обновление программного обеспечения git до версии 1:2.50.1-0.1
Для ОС Astra Linux:
обновить пакет git до 1:2.30.2-1+deb11u4.astra6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 42%
0.00195
Низкий

7.3 High

CVSS3

7.5 High

CVSS2

Связанные уязвимости

redos логотип

ROS-20250219-04

CVSS3: 7.3
redos
9 месяцев назад

Множественные уязвимости git

ubuntu логотип

CVE-2024-50349

ubuntu
10 месяцев назад

Git is a fast, scalable, distributed revision control system with an unusually rich command set that provides both high-level operations and full access to internals. When Git asks for credentials via a terminal prompt (i.e. without using any credential helper), it prints out the host name for which the user is expected to provide a username and/or a password. At this stage, any URL-encoded parts have been decoded already, and are printed verbatim. This allows attackers to craft URLs that contain ANSI escape sequences that the terminal interpret to confuse users e.g. into providing passwords for trusted Git hosting sites when in fact they are then sent to untrusted sites that are under the attacker's control. This issue has been patch via commits `7725b81` and `c903985` which are included in release versions v2.48.1, v2.47.2, v2.46.3, v2.45.3, v2.44.3, v2.43.6, v2.42.4, v2.41.3, and v2.40.4. Users are advised to upgrade. Users unable to upgrade should avoid cloning from untrusted UR...

redhat логотип

CVE-2024-50349

CVSS3: 3.1
redhat
10 месяцев назад

Git is a fast, scalable, distributed revision control system with an unusually rich command set that provides both high-level operations and full access to internals. When Git asks for credentials via a terminal prompt (i.e. without using any credential helper), it prints out the host name for which the user is expected to provide a username and/or a password. At this stage, any URL-encoded parts have been decoded already, and are printed verbatim. This allows attackers to craft URLs that contain ANSI escape sequences that the terminal interpret to confuse users e.g. into providing passwords for trusted Git hosting sites when in fact they are then sent to untrusted sites that are under the attacker's control. This issue has been patch via commits `7725b81` and `c903985` which are included in release versions v2.48.1, v2.47.2, v2.46.3, v2.45.3, v2.44.3, v2.43.6, v2.42.4, v2.41.3, and v2.40.4. Users are advised to upgrade. Users unable to upgrade should avoid cloning from untrusted UR...

nvd логотип

CVE-2024-50349

nvd
10 месяцев назад

Git is a fast, scalable, distributed revision control system with an unusually rich command set that provides both high-level operations and full access to internals. When Git asks for credentials via a terminal prompt (i.e. without using any credential helper), it prints out the host name for which the user is expected to provide a username and/or a password. At this stage, any URL-encoded parts have been decoded already, and are printed verbatim. This allows attackers to craft URLs that contain ANSI escape sequences that the terminal interpret to confuse users e.g. into providing passwords for trusted Git hosting sites when in fact they are then sent to untrusted sites that are under the attacker's control. This issue has been patch via commits `7725b81` and `c903985` which are included in release versions v2.48.1, v2.47.2, v2.46.3, v2.45.3, v2.44.3, v2.43.6, v2.42.4, v2.41.3, and v2.40.4. Users are advised to upgrade. Users unable to upgrade should avoid cloning from untrusted URLs,

msrc логотип

CVE-2024-50349

msrc
10 месяцев назад

Описание отсутствует

EPSS

Процентиль: 42%
0.00195
Низкий

7.3 High

CVSS3

7.5 High

CVSS2