FreeBSD : git -- 複数の脆弱性 (3445e4b6-d2b8-11ef-9ff3-43c2b5d6c4c8)
low Nessus プラグイン ID 214219
Language:
概要
リモートの FreeBSD ホストに 1 つ以上のセキュリティ関連の更新プログラムがありません。説明
リモートホストにインストールされている FreeBSD のバージョンは、テスト済みバージョンより前です。したがって、3445e4b6-d2b8-11ef-9ff3-43c2b5d6c4c8 のアドバイザリに記載されている複数の脆弱性の影響を受けます。Git 開発チームによる報告
CVE-2024-50349: 認証情報を要求するときにサニタイズされていない URL をプリントすると、ユーザーは細工された URL (再帰クローンなど) にさらされやすくなり、信頼できるサイトのパスワードを入力するようにユーザーを誘導し、代わりに信頼できないサイトに送信されることになります。
CVE-2024-52006: Git は、たとえ Git がそれを意図していなかったとしても、認証情報プロトコルを介して、そのキャリッジリターンを行末として解釈する行読み取り関数を使用する認証情報ヘルパーに、キャリッジリターンを渡す場合があります。
Tenable は、前述の記述ブロックを FreeBSD セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
https://github.com/git/git/security/advisories/GHSA-hmg8-h7qf-7cxr
https://github.com/git/git/security/advisories/GHSA-r5ph-xg7q-xfrp
プラグインの詳細
深刻度: Low
ID: 214219
ファイル名: freebsd_pkg_3445e4b6d2b811ef9ff343c2b5d6c4c8.nasl
バージョン: 1.1
タイプ: local
公開日: 2025/1/15
更新日: 2025/1/15
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 2.2
CVSS v2
リスクファクター: High
基本値: 7.5
現状値: 5.5
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2024-50349
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
CVSS v4
リスクファクター: Low
Base Score: 2.1
Threat Score: 0.5
Threat Vector: CVSS:4.0/E:U
Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N
CVSS スコアのソース: CVE-2024-52006
脆弱性情報
CPE: p-cpe:/a:freebsd:freebsd:git-gui, cpe:/o:freebsd:freebsd, p-cpe:/a:freebsd:freebsd:git-p4, p-cpe:/a:freebsd:freebsd:git-svn, p-cpe:/a:freebsd:freebsd:git, p-cpe:/a:freebsd:freebsd:git-cvs
必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2025/1/14
脆弱性公開日: 2025/1/14
参照情報
CVE: CVE-2024-50349, CVE-2024-52006