Portál AbcLinuxu, 14. května 2025 22:11

Bezpečnostní chyba CVE-2018-17456 v Gitu

Byly zveřejněny informace o bezpečnostní chybě CVE-2018-17456 v Gitu. U projektů klonovaných s volbou --recurse-submodules mohl útočník vzdáleně spustit libovolný kód. Chyba byla opravena ve verzích 2.14.5, 2.15.3, 2.16.5, 2.17.2, 2.18.1 a 2.19.1.

5.10.2018 23:55 | Ladislav Hagara | Bezpečnostní upozornění


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

6.10.2018 02:11 laguru
Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-17456 v Gitu
Odpovědět | Sbalit | Link | Blokovat | Admin
Eh? To je znamy snad pul roku ne? :-D A ano je to jedna z tech stale neopravenych znamych bezpecnostnich der v runtimes ve fakepaku, tak si to uzite jestli pouzivate treba sublime z fakepaku.
6.10.2018 02:22 laguru
Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-17456 v Gitu
Ahaaa, tak to se omlouvam, to je dalsi chyba v --recurse-submodules:
When running "git clone --recurse-submodules", Git parses the supplied .gitmodules file for a URL field and blindly passes it as an argument to a "git clone" subprocess. If the URL field is set to a string that begins with a dash, this "git clone" subprocess interprets the URL as an option. This can lead to executing an arbitrary script shipped in the superproject as the user who ran "git clone".
To nezupdatuji ve fakepaku snad dalsiho pulroku :-D. Teda pokud to tady necte nekdo z RH a neprikaze zupdatovat, a pokud by mel git stejny pristup k ABI jako gnome, tak jim ten update rozbije aplikace co ten runtime pouzivaji ... a uz jim dojde ze vlastne jen vytvoril dalsi distribuci (ale za zadnou cenu to verejne nepriznaji) ...

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.