DebianDSA-4581-1：git - セキュリティ更新

critical Nessus プラグイン ID 131966

Language:

概要

リモートのDebianホストにセキュリティ関連の更新プログラムがありません。

説明

スケーラブルな高速分散バージョン管理システムgitで複数の脆弱性が発見されました。

CVE-2019-1348git fast-importの--export-marksオプションが、インストリームコマンド機能のexport-marks=...を通じても漏洩し、任意のパスを上書きできるようになることが報告されました。

- CVE-2019-1387サブモジュール名の検証が不十分であるため、再帰的な複製作成を実行する際に、リモートコード実行を介して標的を絞った攻撃が実行される可能性があることが発見されました。

- CVE-2019-19604Joern Schneeweisz氏は、再帰的なクローンとその後のサブモジュールの更新が、ユーザーが明示的に要求しないにもかかわらず、リポジトリ内に含まれるコードを実行する可能性があることを報告しました。現在、「.gitmodules」が「submodule.<name>.update=!command」を設定するエントリを持つことは許可されていません。

さらにこの更新プログラムは、gitがNTFSファイルシステム（CVE-2019-1349、CVE-2019-1352およびCVE-2019-1353）上で動作している場合のみ問題となる、多数のセキュリティ問題に対処しています。

ソリューション

gitパッケージをアップグレードしてください。

旧安定版（oldstable）ディストリビューション（stretch）では、これらの問題はバージョン1:2.11.0-3+deb9u5で修正されています。

安定版（stable）ディストリビューション（buster）では、これらの問題はバージョン1:2.20.1-2+deb10u1で修正されています。