Elevación de privilegios en Git

Fecha de publicación:

17/05/2017

Importancia:

4 - Alta

Recursos afectados:

Versiones de Git afectadas (notar que para verse afectado por la vulnerabilidad descrita, Git debe estar configurado para usar git-shell):

2.4.x desde 2.4.0 hasta 2.4.11
2.5.x desde 2.5.0 hasta 2.5.5
2.6.x desde 2.6.0 hasta 2.6.6
2.7.x desde 2.7.0 hasta 2.7.4
2.8.x desde 2.8.0 hasta 2.8.4
2.9.x desde 2.9.0 hasta 2.9.3
2.10.x desde 2.10.0 hasta 2.10.2
2.11.x desde 2.11.0 hasta 2.11.1
2.12.x desde 2.12.0 hasta 2.12.2.

Descripción:

Una vulnerabilidad en la shell git-shell de Git podría permitir a una atacante remoto autenticado conseguir elevación de privilegios.

Solución:

En este enlace se pueden encontrar las versiones actualizadas de la aplicación que ya no contienen la vulnerabilidad.

Detalle:

Un atacante podría aprovecharse de una insuficiente validación en la entrada de datos, enviando un nombre de repositorio que comience con guión, "-", explotando de esta manera una vulnerabilidad que se saltaría la shell git-shell consiguiendo privilegios elevados en el sistema.

Referencias:

[ANNOUNCE] Git v2.12.3 and others

Etiquetas:

Actualización

Vulnerabilidad

Accesos corporativos

Elevación de privilegios en Git

Actualización de seguridad de Joomla! 3.9.25

Múltiples vulnerabilidades en GRUB2

Actualización fuera de ciclo de Microsoft Exchange Server

Múltiples vulnerabilidades en productos de Cisco

Múltiples vulnerabilidades en productos VMware