Git 存在任意配置注入漏洞

admin
admin
admin
0
文章
0
评论
2023-11-30 02:23:36 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
中危 Git 存在任意配置注入漏洞

CVE编号

CVE-2023-29007

利用情况

暂无

补丁情况

官方补丁

披露时间

2023-04-26
漏洞描述
Git是一套免费、开源的分布式版本控制系统。 Git 受影响版本中,如果一个 .gitmodules 文件中的子模块URL超过1024个字符,导致 config.c::git_config_copy_or_rename_section_in_file 方法出现错误,尝试删除与该子模块相关的配置部分时可能通过该错误将任意配置注入到用户的 $GIT_DIR/config 中。当攻击者注入指定要运行的可执行文件的配置值(如core.pager、core.editor、core.sshCommand等)时,可能导致远程代码执行。
解决建议
"将组件 git 升级至 2.37.7 及以上版本""将组件 git 升级至 2.38.5 及以上版本""将组件 git 升级至 2.33.8 及以上版本""将组件 git 升级至 2.34.8 及以上版本""将组件 git 升级至 2.30.9 及以上版本""将组件 git 升级至 2.31.8 及以上版本""将组件 git 升级至 2.32.7 及以上版本""将组件 git 升级至 2.40.1 及以上版本""将组件 git 升级至 2.35.8 及以上版本""将组件 git 升级至 2.36.6 及以上版本""将组件 git 升级至 2.39.3 及以上版本"
参考链接
https://github.com/git/git/blob/9ce9dea4e1c2419cca126d29fa7730baa078a11b/Docu...
https://github.com/git/git/commit/528290f8c61222433a8cf02fb7cfffa8438432b4
https://github.com/git/git/security/advisories/GHSA-v48j-4xgg-4844
https://lists.fedoraproject.org/archives/list/[email protected]...
https://lists.fedoraproject.org/archives/list/[email protected]...
https://lists.fedoraproject.org/archives/list/[email protected]...
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 git-scm git * Up to (excluding) 2.30.9
运行在以下环境
应用 git-scm git * From (including) 2.31.0 Up to (excluding) 2.31.8
运行在以下环境
应用 git-scm git * From (including) 2.32.0 Up to (excluding) 2.32.7
运行在以下环境
应用 git-scm git * From (including) 2.33.0 Up to (excluding) 2.33.8
运行在以下环境
应用 git-scm git * From (including) 2.34.0 Up to (excluding) 2.34.8
运行在以下环境
应用 git-scm git * From (including) 2.35.0 Up to (excluding) 2.35.8
运行在以下环境
应用 git-scm git * From (including) 2.36.0 Up to (excluding) 2.36.5
运行在以下环境
应用 git-scm git * From (including) 2.37.0 Up to (excluding) 2.37.7
运行在以下环境
应用 git-scm git * From (including) 2.38.0 Up to (excluding) 2.38.5
运行在以下环境
应用 git-scm git * From (including) 2.39.0 Up to (excluding) 2.39.3
运行在以下环境
应用 git-scm git 2.40.0 -
运行在以下环境
系统 alibaba_cloud_linux_2.1903 git * Up to (excluding) 1.8.3.1-25.1.al7
运行在以下环境
系统 alpine_3.14 git * Up to (excluding) 2.32.7-r0
运行在以下环境
系统 alpine_3.15 git * Up to (excluding) 2.34.8-r0
运行在以下环境
系统 alpine_3.16 git * Up to (excluding) 2.36.6-r0
运行在以下环境
系统 alpine_3.17 git * Up to (excluding) 2.38.5-r0
运行在以下环境
系统 alpine_3.18 git * Up to (excluding) 2.40.1-r0
运行在以下环境
系统 alpine_edge git * Up to (excluding) 2.40.1-r0
运行在以下环境
系统 amazon_2 git * Up to (excluding) 2.40.1-1.amzn2.0.1
运行在以下环境
系统 amazon_2023 git * Up to (excluding) 2.40.1-1.amzn2023.0.1
运行在以下环境
系统 anolis_os_7 gitk * Up to (excluding) 1.8.3.1-25
运行在以下环境
系统 anolis_os_8 gitk * Up to (excluding) 2.39.3-1.0.1
运行在以下环境
系统 centos_7 git-instaweb * Up to (excluding) 1.8.3.1-25.el7_9
运行在以下环境
系统 centos_8 git-gui * Up to (excluding) 2.39.3-1.el8_8
运行在以下环境
系统 debian_10 git * Up to (including) 2.20.1-2+deb10u3
运行在以下环境
系统 debian_11 git * Up to (including) 2.30.2-1+deb11u2
运行在以下环境
系统 debian_12 git * Up to (including) 2.39.2-1.1
运行在以下环境
系统 debian_sid git * Up to (excluding) 1:2.40.1-1
运行在以下环境
系统 fedoraproject fedora 37 -
运行在以下环境
系统 fedoraproject fedora 38 -
运行在以下环境
系统 fedora_36 git-svn * Up to (excluding) 2.40.1-1.fc36
运行在以下环境
系统 fedora_37 git-svn * Up to (excluding) 2.40.1-1.fc37
运行在以下环境
系统 fedora_38 git-svn * Up to (excluding) 2.40.1-1.fc38
运行在以下环境
系统 kylinos_aarch64_V10 emacs-git * Up to (excluding) 1.8.3.1-25.el7_9
运行在以下环境
系统 kylinos_aarch64_V10SP2 git * Up to (excluding) 2.27.0-14.ky10
运行在以下环境
系统 kylinos_loongarch64_V10SP1 git * Up to (excluding) 2.27.0-14.a.ky10
运行在以下环境
系统 kylinos_x86_64_V10 emacs-git * Up to (excluding) 1.8.3.1-25.el7_9
运行在以下环境
系统 kylinos_x86_64_V10SP2 git * Up to (excluding) 2.27.0-14.ky10
运行在以下环境
系统 opensuse_Leap_15.4 git * Up to (excluding) 2.35.3-150300.10.27.1
运行在以下环境
系统 oracle_7 oraclelinux-release * Up to (excluding) 1.8.3.1-25.el7_9
运行在以下环境
系统 oracle_8 oraclelinux-release * Up to (excluding) 2.39.3-1.el8_8
运行在以下环境
系统 oracle_9 oraclelinux-release * Up to (excluding) 2.39.3-1.el9_2
运行在以下环境
系统 redhat_7 git-daemon * Up to (excluding) 1.8.3.1-25.el7_9
运行在以下环境
系统 redhat_8 git-gui * Up to (excluding) 2.39.3-1.el8_8
运行在以下环境
系统 redhat_9 git-daemon * Up to (excluding) 2.39.3-1.el9_2
运行在以下环境
系统 suse_12_SP5 git-core * Up to (excluding) 2.26.2-27.69.1
运行在以下环境
系统 ubuntu_18.04 git * Up to (excluding) 1:2.17.1-1ubuntu0.18
运行在以下环境
系统 ubuntu_20.04 git * Up to (excluding) 1:2.25.1-1ubuntu3.11
运行在以下环境
系统 ubuntu_22.04 git * Up to (excluding) 1:2.34.1-1ubuntu1.9
运行在以下环境
系统 ubuntu_22.10 git * Up to (excluding) 1:2.37.2-1ubuntu1.5
运行在以下环境
系统 unionos_a git * Up to (excluding) git-2.39.3-1.uelc20.01
运行在以下环境
系统 unionos_e git * Up to (excluding) git-2.27.0-17.uel20
阿里云评分 6.5
  • 攻击路径 本地
  • 攻击复杂度 复杂
  • 权限要求 普通权限
  • 影响范围 越权影响
  • EXP成熟度 未验证
  • 补丁情况 官方补丁
  • 数据保密性 数据泄露
  • 数据完整性 无影响
  • 服务器危害 无影响
  • 全网数量 N/A
CWE-ID 漏洞类型
CWE-74 输出中的特殊元素转义处理不恰当(注入)
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-9120利用情况 暂无补丁情况 N/A披露时间 2024-09-23漏洞描述Use after free in Dawn
09-260 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0