Elevación de privilegios en Git

Fecha de publicación:

17/05/2017

Importancia:

4 - Alta

Recursos afectados:

Versiones de Git afectadas (notar que para verse afectado por la vulnerabilidad descrita, Git debe estar configurado para usar git-shell):

2.4.x desde 2.4.0 hasta 2.4.11
2.5.x desde 2.5.0 hasta 2.5.5
2.6.x desde 2.6.0 hasta 2.6.6
2.7.x desde 2.7.0 hasta 2.7.4
2.8.x desde 2.8.0 hasta 2.8.4
2.9.x desde 2.9.0 hasta 2.9.3
2.10.x desde 2.10.0 hasta 2.10.2
2.11.x desde 2.11.0 hasta 2.11.1
2.12.x desde 2.12.0 hasta 2.12.2.

Descripción:

Una vulnerabilidad en la shell git-shell de Git podría permitir a una atacante remoto autenticado conseguir elevación de privilegios.

Solución:

En este enlace se pueden encontrar las versiones actualizadas de la aplicación que ya no contienen la vulnerabilidad.

Detalle:

Un atacante podría aprovecharse de una insuficiente validación en la entrada de datos, enviando un nombre de repositorio que comience con guión, "-", explotando de esta manera una vulnerabilidad que se saltaría la shell git-shell consiguiendo privilegios elevados en el sistema.

Referencias:

[ANNOUNCE] Git v2.12.3 and others

Etiquetas:

Actualización

Vulnerabilidad

Accesos corporativos

Elevación de privilegios en Git

Fallos de Cross Site Scripting (XSS) encontrados en el software Tiki-Wiki CMS

Múltiples vulnerabilidades en Spectrum Protect Plus de IBM

Múltiples vulnerabilidades en Vertiv Avocent UMG-4000

Escalada de privilegios en Apache Traffic Server

Múltiples vulnerabilidades en productos F5