Een industrie-brede veiligheidslek geïdentificeerd als CVE-2018-11.235 is ontdekt in Git. De kwetsbaarheid kan leiden tot het uitvoeren van willekeurige code wanneer een gebruiker bewerkingen uitvoert in een kwaadaardige repository.
CVE-2018-11.235 Officiële Beschrijving
In Git vóór 2.13.7, 2.14.x vóór 2.14.4, 2.15.x vóór 2.15.2, 2.16.x vóór 2.16.4, en 2.17.x alvorens 2.17.1, externe code kan optreden. Met een bewerkte .gitmodules bestand, een kwaadaardig project kan een willekeurig script uit te voeren op een machine die draait “git clone –recurse-submodules” omdat submodule “namen” worden verkregen uit dit bestand, en vervolgens toegevoegd aan $ GIT_DIR / modules, wat leidt tot directory traversal met “../” in een naam. Eindelijk, post-checkout haken van een submodule worden uitgevoerd, omzeilen van het beoogde ontwerp waarbij haken niet zijn verkregen uit een externe server.
Microsoft heeft onlangs gemeld dat Git 2.17.1 en Git voor Windows 2.17.1 (2) waren net vrijgegeven en beschikken over de benodigde fix. De Visual Studio Team Services (VSTS) team neemt veiligheid zeer serieus, en we moedigen alle gebruikers aan hun Git cliënten te werken zo snel mogelijk om dit beveiligingslek op te lossen, Microsoft zei.
Microsoft heeft deze soorten kwaadaardige repositories geblokkeerd wordt geduwd naar VSTS. Deze actie zorgt ervoor dat VSTS niet kan worden benut als vector voor het overbrengen van kwaadwillig vervaardigde repositories om kwetsbare systemen nog steeds vatbaar voor CVE-2018-11.235.
Gebruikers met Git voor Windows moet onmiddellijk te downloaden de laatste versie 2.17.1 (2).
Bovendien, Visuele studio 2017 is momenteel ook gepatched en een hotfix zal binnenkort beschikbaar zijn, Microsoft beloofde.