Huis > Cyber ​​Nieuws > CVE-2018-11235 Git-kwetsbaarheid – Microsoft brengt patch
CYBER NEWS

CVE-2018-11.235 Git Vulnerability – Microsoft brengt patch

Een industrie-brede veiligheidslek geïdentificeerd als CVE-2018-11.235 is ontdekt in Git. De kwetsbaarheid kan leiden tot het uitvoeren van willekeurige code wanneer een gebruiker bewerkingen uitvoert in een kwaadaardige repository.

CVE-2018-11.235 Officiële Beschrijving

In Git vóór 2.13.7, 2.14.x vóór 2.14.4, 2.15.x vóór 2.15.2, 2.16.x vóór 2.16.4, en 2.17.x alvorens 2.17.1, externe code kan optreden. Met een bewerkte .gitmodules bestand, een kwaadaardig project kan een willekeurig script uit te voeren op een machine die draait “git clone –recurse-submodules” omdat submodule “namen” worden verkregen uit dit bestand, en vervolgens toegevoegd aan $ GIT_DIR / modules, wat leidt tot directory traversal met “../” in een naam. Eindelijk, post-checkout haken van een submodule worden uitgevoerd, omzeilen van het beoogde ontwerp waarbij haken niet zijn verkregen uit een externe server.

Verwante Story: CVE-2018-3639: Specter Variant 4 Kwetsbaarheid van invloed op de Linux Kernel

Microsoft heeft onlangs gemeld dat Git 2.17.1 en Git voor Windows 2.17.1 (2) waren net vrijgegeven en beschikken over de benodigde fix. De Visual Studio Team Services (VSTS) team neemt veiligheid zeer serieus, en we moedigen alle gebruikers aan hun Git cliënten te werken zo snel mogelijk om dit beveiligingslek op te lossen, Microsoft zei.

Microsoft heeft deze soorten kwaadaardige repositories geblokkeerd wordt geduwd naar VSTS. Deze actie zorgt ervoor dat VSTS niet kan worden benut als vector voor het overbrengen van kwaadwillig vervaardigde repositories om kwetsbare systemen nog steeds vatbaar voor CVE-2018-11.235.

Gebruikers met Git voor Windows moet onmiddellijk te downloaden de laatste versie 2.17.1 (2).
Bovendien, Visuele studio 2017 is momenteel ook gepatched en een hotfix zal binnenkort beschikbaar zijn, Microsoft beloofde.

Milena Dimitrova

Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Privacybeleid.
Daar ben ik het mee eens