Confira !!
O pacote git anterior à versão 2.26.2-1 é vulnerável à divulgação de informações.
Comunicado de Segurança do Arch Linux ASA-202004-21
==========================================
Gravidade: alta
Data: 2020-04-22
CVE-ID: CVE-2020-11008
Pacote: git
Tipo: divulgação de informações
Remoto: Sim
Link: https://security.archlinux.org/AVG-1138
Sumário
=======
O pacote git anterior à versão 2.26.2-1 é vulnerável a informações
divulgação.
Resolução
==========
Atualize para 2.26.2-1.
# pacman -Syu "git> = 2.26.2-1"
O problema foi corrigido na versão 2.26.2.
Gambiarra
==========
Nenhum.
Descrição
===========
Uma vulnerabilidade foi encontrada no git antes da 2.26.2. Com um URL criado
que contém uma nova linha ou host vazio ou não possui um esquema, o
máquinas auxiliares de credenciais podem ser enganadas a fornecer credenciais
informações que não são apropriadas para o protocolo em uso e hospedam
sendo contatado.
Diferente da vulnerabilidade CVE-2020-5260 corrigida na v2.26.1, o
credenciais não são para um host escolhido pelo atacante; em vez de,
eles são para algum host não especificado (com base em como o servidor configurado
auxiliar de credencial lida com um parâmetro "host" ausente).
O ataque foi tornado impossível por se recusar a trabalhar com
padrões de credenciais especificados.
Impacto
======
Um invasor remoto pode recuperar senhas ou outros
credenciais enganando um usuário na clonagem de um URL criado,
diretamente ou via sub-módulos Git ou sistemas de pacotes criados em torno do Git.
Referências
==========
https://github.com/git/git/security/advisories/GHSA-hjc9-x69f-jqj7
https://github.com/git/git/compare/v2.17.4...v2.17.5
https://security.archlinux.org/CVE-2020-11008
Fonte
Até a próxima !!
Nenhum comentário:
Postar um comentário