Inicio / Alerta Temprana / Avisos Seguridad / Elevación de privilegios en Git

Elevación de privilegios en Git

Fecha de publicación: 
17/05/2017
Importancia: 
4 - Alta
Recursos afectados: 

Versiones de Git afectadas (notar que para verse afectado por la vulnerabilidad descrita, Git debe estar configurado para usar git-shell):

  • 2.4.x desde 2.4.0 hasta 2.4.11
  • 2.5.x desde 2.5.0 hasta 2.5.5
  • 2.6.x desde 2.6.0 hasta 2.6.6
  • 2.7.x desde 2.7.0 hasta 2.7.4
  • 2.8.x desde 2.8.0 hasta 2.8.4
  • 2.9.x desde 2.9.0 hasta 2.9.3
  • 2.10.x desde 2.10.0 hasta 2.10.2
  • 2.11.x desde 2.11.0 hasta 2.11.1
  • 2.12.x desde 2.12.0 hasta 2.12.2.
Descripción: 

Una vulnerabilidad en la shell git-shell de Git podría permitir a una atacante remoto autenticado conseguir elevación de privilegios.

Solución: 

En este enlace se pueden encontrar las versiones actualizadas de la aplicación que ya no contienen la vulnerabilidad.

Detalle: 

Un atacante podría aprovecharse de una insuficiente validación en la entrada de datos, enviando un nombre de repositorio que comience con guión, "-", explotando de esta manera una vulnerabilidad que se saltaría la shell git-shell consiguiendo privilegios elevados en el sistema.