Elevación de privilegios en Git

Fecha de publicación:

17/05/2017

Importancia:

4 - Alta

Recursos afectados:

Versiones de Git afectadas (notar que para verse afectado por la vulnerabilidad descrita, Git debe estar configurado para usar git-shell):

2.4.x desde 2.4.0 hasta 2.4.11
2.5.x desde 2.5.0 hasta 2.5.5
2.6.x desde 2.6.0 hasta 2.6.6
2.7.x desde 2.7.0 hasta 2.7.4
2.8.x desde 2.8.0 hasta 2.8.4
2.9.x desde 2.9.0 hasta 2.9.3
2.10.x desde 2.10.0 hasta 2.10.2
2.11.x desde 2.11.0 hasta 2.11.1
2.12.x desde 2.12.0 hasta 2.12.2.

Descripción:

Una vulnerabilidad en la shell git-shell de Git podría permitir a una atacante remoto autenticado conseguir elevación de privilegios.

Solución:

En este enlace se pueden encontrar las versiones actualizadas de la aplicación que ya no contienen la vulnerabilidad.

Detalle:

Un atacante podría aprovecharse de una insuficiente validación en la entrada de datos, enviando un nombre de repositorio que comience con guión, "-", explotando de esta manera una vulnerabilidad que se saltaría la shell git-shell consiguiendo privilegios elevados en el sistema.

Referencias:

[ANNOUNCE] Git v2.12.3 and others

Etiquetas:

Actualización

Vulnerabilidad

Accesos corporativos

Elevación de privilegios en Git

Vulnerabilidad en Cortex XSOAR de Palo Alto Networks

Múltiples vulnerabilidades en productos VMware

Múltiples vulnerabilidades en productos de NETGEAR

Actualización de seguridad de SAP de junio de 2021

Actualizaciones de seguridad de Microsoft de junio de 2021