Una falla di sicurezza a livello di settore identificato come CVE-2.018-11.235 è stato scoperto in Git. La vulnerabilità può portare all'esecuzione di codice arbitrario quando un utente esegue operazioni in un repository dannoso.
CVE-2.018-11.235 Descrizione ufficiale
In Git prima 2.13.7, 2.14.x prima 2.14.4, 2.15.x prima 2.15.2, 2.16.x prima 2.16.4, e 2.17.x prima 2.17.1, esecuzione di codice remoto può verificarsi. Con un file .gitmodules artigianale, un progetto malintenzionato può eseguire uno script arbitrario su una macchina che corre “clone git –recurse-sottomoduli” perché sotto-modulo “nomi” sono ottenuti da questo file, e aggiunto $ GIT_DIR / moduli, che porta alla directory traversal con “../” in un nome. Infine, ganci post-Cassa da un modulo vengono eseguite, bypassando il disegno inteso in cui ganci non sono ottenute da un server remoto.
Microsoft ha recentemente riferito che Git 2.17.1 e Git per Windows 2.17.1 (2) sono stati appena rilasciato e includono la correzione necessaria. Visual Studio Team Services (VSTS) squadra prende le questioni di sicurezza molto sul serio, e noi incoraggiamo tutti gli utenti di aggiornare i propri clienti Git il più presto possibile per risolvere questa vulnerabilità, Microsoft disse.
Microsoft ha bloccato questi tipi di depositi dannosi da essere spinti a VSTS. Questa azione contribuisce a garantire che VSTS non possono essere sfruttati come vettore per la trasmissione di repository pericoloso di sistemi vulnerabili ancora inclini a CVE-2.018-11.235.
Gli utenti che eseguono Git per Windows dovrebbe immediatamente scaricare l'ultima versione 2.17.1 (2).
In aggiunta, visual Studio 2017 è inoltre in corso di patch e una correzione sarà presto disponibile, Microsoft ha promesso.