Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Risolta grave vulnerabilità in Git

Git  remote code execution   lunedì, 8 ottobre 2018

Git è una tecnologia open source che traccia le modifiche a file di testo, utilizzata principalmente come sistema di controllo delle versioni nello sviluppo di progetti software. Git è alla base della piattaforma di sviluppo GitHub.

Il team di sviluppo di Git ha recentemente svelato l’esistenza di una grave vulnerabilità in Git (CVE-2018-17456) che può causare l’esecuzione di codice arbitrario da remoto quando un utente effettua la clonazione di un repository malevolo.

La vulnerabilità si manifesta durante l’esecuzione di un’operazione di “git clone” ricorsiva di un superprogetto che comprende un file .gitmodules che punta ad un sottomodulo ospitato in un repository SSH remoto, mediante un campo URL che inizia con il carattere “-“. Il programma ssh, lanciato da Git, interpreta questo carattere come un’opzione. Se sfruttata con successo, questa vulnerabilità può consentire l’esecuzione di uno script arbitrario contenuto nel superprogetto con i privilegi dell’utente corrente.

La vulnerabilità affligge le seguenti versioni di Git:

  • Git versioni precedenti la 2.14.5
  • Git versioni precedenti la 2.15.3
  • Git versioni precedenti la 2.16.5
  • Git versioni precedenti la 2.17.2
  • Git versioni precedenti la 2.18.1
  • Git versioni precedenti la 2.19.1

Versioni vulnerabili di Git sono incluse nei prodotti GitHub Desktop (fino alla versione 1.4.1), Atom, in Git a linea di comando e in altri client.

Per proteggersi da questa vulnerabilità, gli utenti Git debbono aggiornare la versione a linea di comando di Git ed ogni altra applicazione che include Git al suo interno alla versione più recente disponibile. In particolare, gli utenti di GitHub Desktop debbono aggiornare l’applicazione alla versione 1.4.2 o alla 1.4.3-beta0. Gli utenti di Atom debbono aggiornare alla versione 1.31.2 o alla 1.32.0-beta3.

Notizie correlate

Vulnerabilità critica in libreria per lo streaming usata in media player molto diffusi

22 ottobre 2018

I ricercatori di Cisco Talos ha rivelato l'esistenza di una vulnerabilità critica nel pacchetto software LIVE555 Streaming Media, una collezione di librerie per lo streaming utilizzata in media player come VLC e MPlayer.Leggi tutto

Aggiornamento di sicurezza critico per Drupal 7 e 8

18 ottobre 2018

È stato rilasciato un aggiornamento di sicurezza che risolve diverse vulnerabilità critiche nel codice "core" del noto CMS Drupal versione 7.x e 8.x.Leggi tutto

Disponibile aggiornamento per vulnerabilità “Peekaboo” in NVR NUUO

15 ottobre 2018

È stato recentemente rilasciato dal produttore NUUO un aggiornamento del firmware che risolve due vulnerabilità note, di cui una critica, in sistemi NVR della serie NVRmini 2 e NVRsolo.Leggi tutto