GLSA 200903-15: git: Multiple vulnerabilties

http://security.gentoo.org/

Опасность:	высокая
Заголовок:	git: Multiple vulnerabilties
Дата:	09.03.2009
Ошибки:	#251343
ID:	200903-15

Сводка

Multiple vulnerabilities in gitweb allow for remote execution of arbitrary commands.

Назначение

GIT - the stupid content tracker, the revision control system used by the Linux kernel team.

Уязвимые пакеты

Пакет	Уязвимый	Нетронутый	Архитектура(ы)
dev-util/git	< 1.6.0.6	>= 1.6.0.6	All supported architectures

Описание

Multiple vulnerabilities have been reported in gitweb that is part of the git package:

Shell metacharacters related to git_search are not properly sanitized (CVE-2008-5516).
Shell metacharacters related to git_snapshot and git_object are not properly sanitized (CVE-2008-5517).
The diff.external configuration variable as set in a repository can be executed by gitweb (CVE-2008-5916).

Воздействие

A remote unauthenticated attacker can execute arbitrary commands via shell metacharacters in a query, remote attackers with write access to a git repository configuration can execute arbitrary commands with the privileges of the user running gitweb by modifying the diff.external configuration variable in the repository and sending a crafted query to gitweb.

Обход

There is no known workaround at this time.

Решение

All git users should upgrade to the latest version:

    # emerge --sync
    # emerge --ask --oneshot --verbose ">=dev-util/git-1.6.0.6"

Ссылки

Наличие

Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security: http://security.gentoo.org/glsa/glsa-200903-15.xml

Опасения?

Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.