NewStart CGSL CORE 5.05 / MAIN 5.05：git 多个漏洞 (NS-SA-2020-0113)

high Nessus 插件 ID 143890

语言：

简介

远程机器受到多个漏洞影响。

描述

运行 CORE 5.05/MAIN 5.05 版本的远程 NewStart CGSL 主机上安装的 git 程序包受到多个漏洞的影响：

- 在 v2.24.1、v2.23.1、v2.22.2、v2.21.1、v2.20.2、v2.19.3、v2.18.2、v2.17.3、v2.16.6、v2.15.4 和 v2.14.6 之前版本的 Git 中发现了一个问题。目前，递归克隆受到一个漏洞的影响，原因是对子模块名称的验证过于松散，导致可以在递归克隆中通过远程代码执行进行非常有针对性的攻击。(CVE-2019-1387)

- 受影响的 Git 版本中存在漏洞，可诱骗 Git 向攻击者控制的主机发送私有凭据。Git 使用外部“凭据帮助程序”来存储和检索操作系统提供的安全存储中的密码或其他凭据。包含已编码换行符的特别构建的 URL 可将非预期值注入凭据帮助程序协议流，使凭据帮助程序返回将包含在发送给一台服务器（例如，evil.example.com）的 HTTP 请求中的另一台服务器（例如，good.example.com）的密码，从而导致后者的凭据被发送给前者。两者之间的关系不存在任何限制，这表示攻击者可构建一个将任何主机的已存储凭据提供给其所选主机的 URL。此漏洞可通过向“git clone”馈送恶意 URL 触发。但是，受影响的 URL 看起来相当可疑；可能的途径是会自动克隆对用户不可见的 URL 的系统（例如 Git 子模块），或是围绕 Git 构建的程序包系统。已在 v2.17.x 到 2020 年 4 月 14 日发布的版本中修补此问题。想要进一步向后移植此更改的任何人都可以通过应用提交 9a6bbee（完整版本包含针对 git fsck 的额外检查，但该提交足以保护客户端不受此漏洞的影响）来实现该操作。已修补的版本包括：2.17.4、2.18.3、2.19.4、2.20.3、2.21.2、2.22.3、2.23.2、2.24.2、2.25.3、2.26.1。
(CVE-2020-5260)

请注意，Nessus 尚未测试此问题，而是只依靠应用程序自我报告的版本号。