FERRAMENTAS LINUX: Atulização de segurança do ArchLinux para corrigir a divulgação de informações no git, aviso ArchLinux: 202004-21

quinta-feira, 30 de abril de 2020

Atulização de segurança do ArchLinux para corrigir a divulgação de informações no git, aviso ArchLinux: 202004-21



Confira !!



O pacote git anterior à versão 2.26.2-1 é vulnerável à divulgação de informações.
Comunicado de Segurança do Arch Linux ASA-202004-21
==========================================

Gravidade: alta
Data: 2020-04-22
CVE-ID: CVE-2020-11008
Pacote: git
Tipo: divulgação de informações
Remoto: Sim
Link: https://security.archlinux.org/AVG-1138

Sumário
=======

O pacote git anterior à versão 2.26.2-1 é vulnerável a informações
divulgação.

Resolução
==========

Atualize para 2.26.2-1.

# pacman -Syu "git> = 2.26.2-1"

O problema foi corrigido na versão 2.26.2.

Gambiarra
==========

Nenhum.

Descrição
===========

Uma vulnerabilidade foi encontrada no git antes da 2.26.2. Com um URL criado
que contém uma nova linha ou host vazio ou não possui um esquema, o
máquinas auxiliares de credenciais podem ser enganadas a fornecer credenciais
informações que não são apropriadas para o protocolo em uso e hospedam
sendo contatado.

Diferente da vulnerabilidade CVE-2020-5260 corrigida na v2.26.1, o
credenciais não são para um host escolhido pelo atacante; em vez de,
eles são para algum host não especificado (com base em como o servidor configurado
auxiliar de credencial lida com um parâmetro "host" ausente).

O ataque foi tornado impossível por se recusar a trabalhar com
padrões de credenciais especificados.

Impacto
======

Um invasor remoto pode recuperar senhas ou outros
credenciais enganando um usuário na clonagem de um URL criado,
diretamente ou via sub-módulos Git ou sistemas de pacotes criados em torno do Git.

Referências
==========

https://github.com/git/git/security/advisories/GHSA-hjc9-x69f-jqj7
https://github.com/git/git/compare/v2.17.4...v2.17.5
https://security.archlinux.org/CVE-2020-11008


Fonte

Até a próxima !!

Nenhum comentário:

Postar um comentário