ASA-202004-21 лог внешний источник raw-данные

[ASA-202004-21] git: раскрытие информации
Рекомендация по безопасности UBLinux ASA-202004-21 ================================================== Уровень : Высокий Дата : 2020-04-22 CVE-ID : CVE-2020-11008 Пакет : git Тип : раскрытие информации Удалённо : Да Ссылка : https://security.ublinux.ru/AVG-19 Сводка ======= Пакет git до версии 2.26.2-1 имеет уязвимость раскрытие информации. Решение ========== Обновление до версии 2.26.2-1. # pacman -Syu "git>=2.26.2-1" Проблема устранена в апстриме в версии 2.26.2. Путь для обхода ========== Нет. Описание =========== Уязвимость была обнаружена в git до версии 2.26.2. С созданным URL- адресом, который содержит новую строку или пустой хост или не имеет схемы, вспомогательный механизм учетных данных может быть обманут, предоставив учетные данные, которые не подходят для используемого протокола и хоста, с которым осуществляется связь. В отличие от уязвимости CVE-2020-5260, исправленной в v2.26.1, учетные данные не принадлежат хосту по выбору злоумышленника; вместо этого они предназначены для некоторого неуказанного хоста (в зависимости от того, как настроенный помощник по учетным данным обрабатывает отсутствующий параметр «хост»). Атака стала невозможной из-за отказа работать с недостаточно заданными шаблонами учетных данных. Влияние ====== Удаленный злоумышленник может получить пароли или другие учетные данные, обманом заставив пользователя клонировать созданный URL-адрес либо напрямую, либо через субмодули Git, либо системы пакетов, построенные на основеGit. Рекомендации ========== https://github.com/git/git/security/advisories/GHSA-hjc9-x69f-jqj7 https://github.com/git/git/compare/v2.17.4...v2.17.5 https://security.ublinux.ru/CVE-2020-11008
© UBLinux. Все права защищены. Разработка и дизайн UB Group.