Представлены (https://lkml.org/lkml/2018/5/29/889) корректирующие выпуски всех поддерживаемых веток системы управления исходными текстами Git (2.17.1, 2.13.7, 2.14.4, 2.15.2, 2.16.4), в которых устранены две уязвимости:

-  CVE-2018-11235 (https://security-tracker.debian.org/tracker/CVE-2018-11235) - возможность выхода за границы базового каталога  репозитория через использование символов "../" в имени пути к субмодулю, определённому в файле ".gitmodules".  При обращении пользователя к контролируемому злоумышленником репозиторию, возможна организация атаки по созданию/переписи файла в ФС с правами текущего пользователя, которая может быть доведена до запуска кода на сервере (например, через подстановку скрипта post-checkout в файл .git/config);

-  CVE-2018-11233 (https://security-tracker.debian.org/tracker/CVE-2018-11233) -  чтение случайных частей памяти процесса git через создание  в файловой системе NTFS специально оформленных путей.

Дополнительно в новых выпусках добавлена возможность блокирования на стороне сервера push-операций с попыткой создания файла .gitmodules в качестве превентивной меры защиты от добавления вредоносного контента в репозиторий. Режим блокировки включается наряду с другими мерами усиления заищиты при наличии параметра receive.fsckObjects в настройках на стороне сервера. Например, ранее подобным образом уже было запрещено создание каталога ".GIT" с изменением регистра символов.

URL: https://lkml.org/lkml/2018/5/29/889
Новость: https://www.opennet.me/opennews/art.shtml?num=48680