Git for Windows < 2.45.1 多个漏洞
critical Nessus 插件 ID 202262
语言:
简介
远程 Windows 主机上安装有受多种漏洞影响的 Github for Windows。描述
远程主机上安装的 Git for Windows 版本低于 2.45.1,因而会受到多个漏洞的影响:- 支持符号链接的不区分大小写文件系统上的递归克隆容易受到大小写混淆的影响,可利用此问题在克隆操作期间执行刚克隆的代码。(CVE-2024-32002)
- 可将存储库配置为在本地克隆期间执行任意代码。为解决此问题,v2.30.3 中引入的所有权检查现已扩展至涵盖克隆本地存储库。(CVE-2024-32004)
- 当源存储库和目标存储库存在于同一磁盘上时,本地克隆可能会以将文件硬链接到目标存储库的对象数据库中而告终。如果源存储库为其他用户所有,则不受信任的用户可能会随时重写这些硬链接文件。(CVE-2024-32020)
- 通过文件系统克隆包含符号链接的本地源存储库时,Git 可能会创建指向任意用户可读文件的硬链接,“objects/”目录中的目标存储库相同的文件系统。(CVE-2024-32021)
- 克隆不受信任的存储库是安全的,包括那些从 zip 存档中解包的存储库或来自不受信任来源的 tarball,但 Git 可能会受到诱骗在克隆过程中运行任意代码。(CVE-2024-32465)
请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级版本至 Git for Windows 2.45.1 或更高版本。另见
插件详情
严重性: Critical
ID: 202262
文件名: git_for_windows_2_45_1.nasl
版本: 1.2
类型: local
代理: windows
系列: Windows
发布时间: 2024/7/12
最近更新时间: 2024/7/15
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Critical
分数: 9.2
CVSS v2
风险因素: High
基本分数: 7.6
时间分数: 6
矢量: CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2024-32002
CVSS v3
风险因素: Critical
基本分数: 9
时间分数: 8.1
矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
漏洞信息
CPE: cpe:/a:git_for_windows_project:git_for_windows
必需的 KB 项: installed_sw/Git for Windows
可利用: true
易利用性: Exploits are available
补丁发布日期: 2024/4/25
漏洞发布日期: 2024/4/25
参考资料信息
CVE: CVE-2024-32002, CVE-2024-32004, CVE-2024-32020, CVE-2024-32021, CVE-2024-32465