Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Risolta grave vulnerabilità in Git

Git  remote code execution   lunedì, 8 ottobre 2018

Git è una tecnologia open source che traccia le modifiche a file di testo, utilizzata principalmente come sistema di controllo delle versioni nello sviluppo di progetti software. Git è alla base della piattaforma di sviluppo GitHub.

Il team di sviluppo di Git ha recentemente svelato l’esistenza di una grave vulnerabilità in Git (CVE-2018-17456) che può causare l’esecuzione di codice arbitrario da remoto quando un utente effettua la clonazione di un repository malevolo.

La vulnerabilità si manifesta durante l’esecuzione di un’operazione di “git clone” ricorsiva di un superprogetto che comprende un file .gitmodules che punta ad un sottomodulo ospitato in un repository SSH remoto, mediante un campo URL che inizia con il carattere “-“. Il programma ssh, lanciato da Git, interpreta questo carattere come un’opzione. Se sfruttata con successo, questa vulnerabilità può consentire l’esecuzione di uno script arbitrario contenuto nel superprogetto con i privilegi dell’utente corrente.

La vulnerabilità affligge le seguenti versioni di Git:

  • Git versioni precedenti la 2.14.5
  • Git versioni precedenti la 2.15.3
  • Git versioni precedenti la 2.16.5
  • Git versioni precedenti la 2.17.2
  • Git versioni precedenti la 2.18.1
  • Git versioni precedenti la 2.19.1

Versioni vulnerabili di Git sono incluse nei prodotti GitHub Desktop (fino alla versione 1.4.1), Atom, in Git a linea di comando e in altri client.

Per proteggersi da questa vulnerabilità, gli utenti Git debbono aggiornare la versione a linea di comando di Git ed ogni altra applicazione che include Git al suo interno alla versione più recente disponibile. In particolare, gli utenti di GitHub Desktop debbono aggiornare l’applicazione alla versione 1.4.2 o alla 1.4.3-beta0. Gli utenti di Atom debbono aggiornare alla versione 1.31.2 o alla 1.32.0-beta3.

Notizie correlate

Aggiornamento di sicurezza Android (maggio 2019)

7 maggio 2019

Google ha rilasciato l'aggiornamento di sicurezza di maggio che risolve svariate vulnerabilità nel sistema operativo Android, le più gravi delle quali potrebbero consentire l'esecuzione di codice da remoto sul dispositivo.Leggi tutto

Gravi vulnerabilità del client SupportAssist mettono a rischio i computer Dell

6 maggio 2019

Sono state scoperte due gravi vulnerabilità nel software Dell SupportAssist client che possono consentire attacchi CSRF o esecuzione di codice da remoto.Leggi tutto

Vulnerabilità critica 0-day in Oracle WebLogic Server

2 maggio 2019

Oracle ha rilasciato un avviso di sicurezza che riguarda una vulnerabilità critica zero-day in Oracle WebLogic Server che può consentire l'esecuzione di codice arbitrario sul server.Leggi tutto