FreeBSD:悪質なURLが誤ったサーバーに認証情報を提示することができます(ced2d47e-8469-11ea-a283-b42e99a1b9c3)
high Nessus プラグイン ID 137168
Language:
概要
リモートのFreeBSDホストに1つ以上のセキュリティ関連の更新プログラムがありません。説明
gitセキュリティアドバイザリによる報告:Gitは、外部の「認証情報ヘルパー」プログラムを使用して、オペレーティングシステムが提供する安全なストレージから、パスワードまたはその他の認証情報を保存および取得します。エンコードされた改行を含む特別に細工されたURLにより、意図しない値が認証情報ヘルパープロトコルストリームに挿入される可能性があります。これにより、認証情報ヘルパーが、あるサーバーから別のサーバー宛てのHTTPリクエスト用のパスワードを取得して、前者の認証情報が後者に送信されます。
ソリューション
影響を受けるパッケージを更新してください。参考資料
https://github.com/git/git/security/advisories/GHSA-qm7j-c969-7j4q
プラグインの詳細
深刻度: High
ID: 137168
ファイル名: freebsd_pkg_ced2d47e846911eaa283b42e99a1b9c3.nasl
バージョン: 1.4
タイプ: local
公開日: 2020/6/5
更新日: 2024/3/7
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.4
CVSS v2
リスクファクター: Medium
基本値: 5
現状値: 3.9
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS スコアのソース: CVE-2020-5260
CVSS v3
リスクファクター: High
基本値: 7.5
現状値: 6.7
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:freebsd:freebsd:git, p-cpe:/a:freebsd:freebsd:git-gui, p-cpe:/a:freebsd:freebsd:git-lite, cpe:/o:freebsd:freebsd
必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2020/4/22
脆弱性公開日: 2020/4/14
参照情報
CVE: CVE-2020-5260