Amazon Linux 2:git (ALAS-2023-1943)
critical Nessus 插件 ID 171819
语言:
简介
远程 Amazon Linux 2 主机缺少安全更新。描述
远程主机上安装的 git 版本低于 2.23.1-0。因此,它受到 ALAS2-2023-1943 公告中提及的多个漏洞影响。- 在 v2.24.1、v2.23.1、v2.22.2、v2.21.1、v2.20.2、v2.19.3、v2.18.2、v2.17.3、v2.16.6、v2.15.4 和 v2.14.6 之前的 Git 中发现问题。 git 快速导入的 --export-marks 选项也会通过 in-stream 命令功能 export-marks=... 显现,并且允许覆盖任意路径。(CVE-2019-1348)
- 当 Visual Studio 中的 Git 未正确审查输入时,存在一个远程代码执行漏洞,也称作“Git for Visual Studio 远程代码执行漏洞”。此 CVE ID 与 CVE-2019-1350、CVE-2019-1352、CVE-2019-1354、CVE-2019-1387 不同。(CVE-2019-1349)
- 当 Visual Studio 中的 Git 未正确审查输入时,存在一个远程代码执行漏洞,也称作“Git for Visual Studio 远程代码执行漏洞”。此 CVE ID 与 CVE-2019-1349、CVE-2019-1352、CVE-2019-1354、CVE-2019-1387 不同。(CVE-2019-1350)
- Visual Studio 中的 Git 未正确处理虚拟驱动器路径时,存在篡改漏洞,即“Git for Visual Stud 篡改漏洞”。(CVE-2019-1351)
- 当 Visual Studio 中的 Git 未正确审查输入时,存在一个远程代码执行漏洞,也称作“Git for Visual Studio 远程代码执行漏洞”。此 CVE ID 与 CVE-2019-1349、CVE-2019-1350、CVE-2019-1354、CVE-2019-1387 不同。(CVE-2019-1352)
- 在 Git 2.24.1、2.23.1、2.22.2、2.21.1、2.20.2、2.19.3、2.18.2、2.17.3、2.16.6、2.15.4 和 2.14.6 之前版本中发现一个问题。当在 Linux 版 Windows 子系统(也称为 WSL)中运行 Git 并访问常规 Windows 驱动程序上的工作目录时,没有任何 NTFS 保护工具处于活动状态。
(CVE-2019-1353)
- 当 Visual Studio 中的 Git 未正确审查输入时,存在一个远程代码执行漏洞,也称作“Git for Visual Studio 远程代码执行漏洞”。此 CVE ID 与 CVE-2019-1349、CVE-2019-1350、CVE-2019-1352、CVE-2019-1387 不同。(CVE-2019-1354)
- 在 v2.24.1、v2.23.1、v2.22.2、v2.21.1、v2.20.2、v2.19.3、v2.18.2、v2.17.3、v2.16.6、v2.15.4 和 v2.14.6 之前版本的 Git 中发现了一个问题。目前,递归克隆受到一个漏洞的影响,原因是对子模块名称的验证过于松散,导致可以在递归克隆中通过远程代码执行进行非常有针对性的攻击。(CVE-2019-1387)
- 由于“git submodule update”操作可运行恶意存储库的 .gitmodules 文件中发现的命令,因此 2.20.2 之前版本、2.21.1 之前的 2.21.x 版本、2.22.2 之前的 2.22.x 版本、2.23.1 之前的 2.23.x 版本和 2.24.1 之前的 2.24.x 版本 Git 中可能会存在任意命令执行。(CVE-2019-19604)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
运行 'yum update git' 以更新系统。另见
https://alas.aws.amazon.com/AL2/ALAS-2023-1943.html
https://alas.aws.amazon.com/cve/html/CVE-2019-1348.html
https://alas.aws.amazon.com/cve/html/CVE-2019-1349.html
https://alas.aws.amazon.com/cve/html/CVE-2019-1350.html
https://alas.aws.amazon.com/cve/html/CVE-2019-1351.html
https://alas.aws.amazon.com/cve/html/CVE-2019-1352.html
https://alas.aws.amazon.com/cve/html/CVE-2019-1353.html
https://alas.aws.amazon.com/cve/html/CVE-2019-1354.html
https://alas.aws.amazon.com/cve/html/CVE-2019-1387.html
插件详情
严重性: Critical
ID: 171819
文件名: al2_ALAS-2023-1943.nasl
版本: 1.2
类型: local
代理: unix
发布时间: 2023/2/23
最近更新时间: 2024/12/11
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: High
基本分数: 9.3
时间分数: 7.3
矢量: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2019-19604
CVSS v3
风险因素: Critical
基本分数: 9.8
时间分数: 8.8
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
CVSS 分数来源: CVE-2019-1353
漏洞信息
CPE: p-cpe:/a:amazon:linux:git-p4, p-cpe:/a:amazon:linux:git-subtree, p-cpe:/a:amazon:linux:git, p-cpe:/a:amazon:linux:git-daemon, p-cpe:/a:amazon:linux:git-core-doc, p-cpe:/a:amazon:linux:git-svn, p-cpe:/a:amazon:linux:perl-git, p-cpe:/a:amazon:linux:git-cvs, p-cpe:/a:amazon:linux:git-core, p-cpe:/a:amazon:linux:gitweb, p-cpe:/a:amazon:linux:git-all, p-cpe:/a:amazon:linux:git-debuginfo, p-cpe:/a:amazon:linux:gitk, cpe:/o:amazon:linux:2, p-cpe:/a:amazon:linux:git-gui, p-cpe:/a:amazon:linux:git-instaweb, p-cpe:/a:amazon:linux:perl-git-svn, p-cpe:/a:amazon:linux:git-email
必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
可利用: true
易利用性: Exploits are available
补丁发布日期: 2023/2/17
漏洞发布日期: 2019/12/9
参考资料信息
CVE: CVE-2019-1348, CVE-2019-1349, CVE-2019-1350, CVE-2019-1351, CVE-2019-1352, CVE-2019-1353, CVE-2019-1354, CVE-2019-1387, CVE-2019-19604