Un fallo de seguridad en toda la industria identificada como CVE-2018 a 11.235 ha sido descubierta en Git. La vulnerabilidad puede provocar la ejecución de código arbitrario cuando un usuario realiza operaciones en un repositorio malicioso.
CVE-2018 a 11.235 Descripción oficial
En Git antes 2.13.7, 2.14.x antes 2.14.4, 2.15.x antes 2.15.2, 2.16.x antes 2.16.4, y antes de 2.17.x 2.17.1, la ejecución remota de código puede producirse. Con un archivo elaborado .gitmodules, un proyecto malicioso puede ejecutar un script arbitrario en una máquina que funciona “git clone –recurse-submódulos” porque submódulo “nombres” se obtienen de este archivo, y luego anexa a $ GIT_DIR / módulos, que lleva a salto de directorio con “../” en un nombre. Finalmente, ganchos post-pago y envío de un submódulo se ejecutan, sin pasar por el diseño previsto en el que los ganchos no se obtienen a partir de un servidor remoto.
Microsoft informó recientemente que Git 2.17.1 y Git para Windows 2.17.1 (2) se acaba de publicar e incluir la corrección necesaria. Los Servicios de Visual Studio Team (VSTS) equipo toma muy en serio los problemas de seguridad, y animamos a todos los usuarios para actualizar sus clientes Git tan pronto como sea posible fijar esta vulnerabilidad, Microsoft dijo.
Microsoft ha bloqueado este tipo de repositorios maliciosos sea empujado a VSTS. Esta acción ayuda a asegurar que VSTS no pueden ser explotados como vector para la transmisión de repositorios malintencionados a los sistemas vulnerables siendo propensas a CVE-2018-11235.
Los usuarios que ejecutan Git para Windows debe inmediatamente descargar la última versión 2.17.1 (2).
Adicionalmente, Estudio visual 2017 también está siendo parcheado y una revisión estará disponible pronto, microsoft prometió.