Confira !!
Correção de segurança para CVE-2020-5260 e CVE-2020-11008 CVE-2020-5260 - Do upstream [notas de versão] (https://www.kernel.org/pub/software/scm/git/docs/RelNotes/ 2.17.4.txt):> Com um URL criado que contém uma nova linha, o mecanismo auxiliar de credenciais pode ser enganado ao fornecer informações de credenciais para um host errado. o
-------------------------------------------------- ------------------------------
Notificação de Atualização do Fedora
FEDORA-2020-4e093619bb
2020-05-01 04: 53: 46.191444
-------------------------------------------------- ------------------------------
Nome: git
Produto: Fedora 30
Versão: 2.21.3
Lançamento: 1.fc30
URL: https://git-scm.com/
Resumo: Sistema Rápido de Controle de Versão
Descrição :
O Git é um sistema de controle de revisão distribuído rápido, escalável e com um
conjunto de comandos extraordinariamente rico que fornece operações de alto nível
e acesso total aos internos.
O git rpm instala um conjunto comum de ferramentas que geralmente são usadas com o
pequena quantidade de dependências. Para instalar todos os pacotes git, incluindo
ferramentas para integração com outros SCMs, instale o meta-pacote git-all.
-------------------------------------------------- ------------------------------
Atualizar informação:
Correção de segurança para CVE-2020-5260 e CVE-2020-11008 CVE-2020-5260 - A partir do
a montante [versão
notas] (https://www.kernel.org/pub/software/scm/git/docs/RelNotes/2.17.4.txt):>
Com um URL criado que contém uma nova linha, o auxiliar> credencial
máquinas podem ser enganadas para fornecer informações credenciais para um host errado. o
o ataque foi impossível ao proibir> um caractere de nova linha em qualquer valor
passado através do protocolo credencial. CVE-2020-11008 - Do montante
[lançamento
notes] (https://www.kernel.org/pub/software/scm/git/docs/RelNotes/2.17.5.txt):
> Com um URL criado que contém uma nova linha ou host vazio, ou não possui um esquema,
o maquinário auxiliar de credenciais pode ser enganado> fornecendo credenciais
informações que não são apropriadas para o protocolo em uso e para o host
contactado. Ao contrário da vulnerabilidade CVE-2020-5260 corrigida na v2.17.4, o>
credenciais não são para um host escolhido pelo atacante; em vez disso, eles são
para algum host não especificado (com base em como o> auxiliar de credencial configurado
lida com um parâmetro "host" ausente). >> O ataque foi tornado impossível por
recusando-se a trabalhar com padrões de credenciais sub-especificados.
-------------------------------------------------- ------------------------------
ChangeLog:
* Segunda-feira, 20 de abril de 2020 Todd Zullinger - 2.21.3-1
- atualização para 2.21.3 (CVE-2020-11008)
* Ter 14 de abril de 2020 Todd Zullinger - 2.21.2-1
- atualização para 2.21.2 (CVE-2020-5260)
-------------------------------------------------- ------------------------------
Referências:
[1] Bug # 1822020 - CVE-2020-5260 git: URL criado com novas linhas pode causar vazamento de credenciais
https://bugzilla.redhat.com/show_bug.cgi?id=1822020
[2] Bug # 1826001 - CVE-2020-11008 git: URL criado contendo novas linhas, host vazio ou sem um esquema pode causar vazamento de credenciais
https://bugzilla.redhat.com/show_bug.cgi?id=1826001
-------------------------------------------------- ------------------------------
Esta atualização pode ser instalada com o programa de atualização "dnf". Usar
su -c 'upgrade dnf --visão FEDORA-2020-4e093619bb' sob o comando
linha. Para obter mais informações, consulte a documentação dnf disponível em
https://dnf.readthedocs.io/en/latest/command_ref.html#upgrade-command-label
Todos os pacotes são assinados com a chave GPG do Projeto Fedora. Mais detalhes sobre o
As chaves GPG usadas pelo Projeto Fedora podem ser encontradas em
https://fedoraproject.org/keys
-------------------------------------------------- ------------------------------
_______________________________________________
lista de e-mail do pacote-anunciar - package-announce@lists.fedoraproject.org
Para cancelar a inscrição, envie um e-mail para package-announce-leave@lists.fedoraproject.org
Código de Conduta do Fedora: https://docs.fedoraproject.org/pt-BR/project/code-of-conduct/
Diretrizes da Lista: https://fedoraproject.org/wiki/Mailing_list_guidelines
Arquivos da lista: https://lists.fedoraproject.org/archives/list/ package-announce@lists.fedoraproject.org
Fonte
Até a próxima !!
Nenhum comentário:
Postar um comentário