检测

Amazon Linux 2:git (ALAS-2019-1371)

critical Nessus 插件 ID 132259

语言:

简介

远程 Amazon Linux 2 主机缺少安全更新。

描述

Git 将某些路径误认为相对路径,从而允许克隆过程中在 worktree 以外写入 (CVE-2019-1351)

在适用于 Linux 的 Windows 子系统中运行 Git 时,NTFS 保护未激活。(CVE-2019-1353)

含有嵌套子模块的递归克隆中存在远程代码执行 (CVE-2019-1387)

通过 export-marks 命令选项造成任意路径覆盖 (CVE-2019-1348)

.git 目录中的文件在通过 NTFS 备用数据流克隆期间可能会被覆盖 (CVE-2019-1352)

递归子模块克隆允许使用 git 目录两次,并以 .git/ 编写同义目录名称 (CVE-2019-1349)

未正确引用命令行参数,导致递归克隆的过程中可执行远程代码 (CVE-2019-1350)

Git 未拒绝写出文件名中带有反斜线的跟踪文件 (CVE-2019-1354)

递归克隆后如果紧接着进行子模块更新,就可能会在未经用户明确同意的情况下执行存储库内包含的代码。由于“git submodule update”操作可运行恶意存储库的 .gitmodules 文件中发现的命令,因此 2.20.2 之前版本、2.21.1 之前的 2.21.x 版本、2.22.2 之前的 2.22.x 版本、2.23.1 之前的 2.23.x 版本和 2.24.1 之前的 2.24.x 版本 Git 中可能会存在任意命令执行。(CVE-2019-19604)

解决方案

运行“yum update git”以更新系统。

另见

https://alas.aws.amazon.com/AL2/ALAS-2019-1371.html

插件详情

严重性: Critical

ID: 132259

文件名: al2_ALAS-2019-1371.nasl

版本: 1.6

类型: local

代理: unix

发布时间: 2019/12/19

最近更新时间: 2024/4/3

支持的传感器: Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: High

基本分数: 9.3

时间分数: 7.3

矢量: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2019-19604

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.8

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

CVSS 分数来源: CVE-2019-1353

漏洞信息

CPE: p-cpe:/a:amazon:linux:perl-git-svn, cpe:/o:amazon:linux:2, p-cpe:/a:amazon:linux:git, p-cpe:/a:amazon:linux:git-all, p-cpe:/a:amazon:linux:git-core, p-cpe:/a:amazon:linux:git-core-doc, p-cpe:/a:amazon:linux:git-cvs, p-cpe:/a:amazon:linux:git-daemon, p-cpe:/a:amazon:linux:git-debuginfo, p-cpe:/a:amazon:linux:git-email, p-cpe:/a:amazon:linux:git-gui, p-cpe:/a:amazon:linux:git-instaweb, p-cpe:/a:amazon:linux:git-p4, p-cpe:/a:amazon:linux:git-subtree, p-cpe:/a:amazon:linux:git-svn, p-cpe:/a:amazon:linux:gitk, p-cpe:/a:amazon:linux:gitweb, p-cpe:/a:amazon:linux:perl-git

必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2019/12/13

漏洞发布日期: 2019/12/11

参考资料信息

CVE: CVE-2019-1348, CVE-2019-1349, CVE-2019-1350, CVE-2019-1351, CVE-2019-1352, CVE-2019-1353, CVE-2019-1354, CVE-2019-1387, CVE-2019-19604

ALAS: 2019-1371