Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Risolta grave vulnerabilità in Git

Git  remote code execution   lunedì, 8 ottobre 2018

Git è una tecnologia open source che traccia le modifiche a file di testo, utilizzata principalmente come sistema di controllo delle versioni nello sviluppo di progetti software. Git è alla base della piattaforma di sviluppo GitHub.

Il team di sviluppo di Git ha recentemente svelato l’esistenza di una grave vulnerabilità in Git (CVE-2018-17456) che può causare l’esecuzione di codice arbitrario da remoto quando un utente effettua la clonazione di un repository malevolo.

La vulnerabilità si manifesta durante l’esecuzione di un’operazione di “git clone” ricorsiva di un superprogetto che comprende un file .gitmodules che punta ad un sottomodulo ospitato in un repository SSH remoto, mediante un campo URL che inizia con il carattere “-“. Il programma ssh, lanciato da Git, interpreta questo carattere come un’opzione. Se sfruttata con successo, questa vulnerabilità può consentire l’esecuzione di uno script arbitrario contenuto nel superprogetto con i privilegi dell’utente corrente.

La vulnerabilità affligge le seguenti versioni di Git:

  • Git versioni precedenti la 2.14.5
  • Git versioni precedenti la 2.15.3
  • Git versioni precedenti la 2.16.5
  • Git versioni precedenti la 2.17.2
  • Git versioni precedenti la 2.18.1
  • Git versioni precedenti la 2.19.1

Versioni vulnerabili di Git sono incluse nei prodotti GitHub Desktop (fino alla versione 1.4.1), Atom, in Git a linea di comando e in altri client.

Per proteggersi da questa vulnerabilità, gli utenti Git debbono aggiornare la versione a linea di comando di Git ed ogni altra applicazione che include Git al suo interno alla versione più recente disponibile. In particolare, gli utenti di GitHub Desktop debbono aggiornare l’applicazione alla versione 1.4.2 o alla 1.4.3-beta0. Gli utenti di Atom debbono aggiornare alla versione 1.31.2 o alla 1.32.0-beta3.

Notizie correlate

Vulnerabilità multiple in PHP

10 dicembre 2018

Sono state scoperte diverse vulnerabilità in PHP 5 e 7 che potrebbero consentire ad un attaccante remoto di eseguire codice arbitrario nel contesto dell’applicazione affetta o di causare condizioni di denial of service.Leggi tutto

Adobe risolve vulnerabilità critica 0-day in Adobe Flash Player

6 dicembre 2018

Adobe ha rilasciato un aggiornamento di sicurezza che risolve una vulnerabilità critica zero-day in Flash Player e una vulnerabilità di gravità elevata nell'installer di Flash Player.Leggi tutto

Aggiornamento di sicurezza Android (dicembre 2018)

4 dicembre 2018

Google ha rilasciato l'aggiornamento di sicurezza di dicembre che risolve svariate vulnerabilità nel sistema operativo Android, le più gravi delle quali potrebbero consentire l'esecuzione di codice da remoto sul dispositivo.Leggi tutto