Debian dla-4323git - 安全更新
high Nessus 插件 ID 266697
语言:
简介
远程 Debian 主机上缺少一个或多个与安全相关的更新。描述
远程 Debian 11 主机上存在安装的程序包该程序包受到 dla-4323 公告中提及的多个漏洞的影响。- ------------------------------------------------- ------------------------ Debian LTS 公告 DLA-4323-1 [email protected] https://www.debian.org/lts/security/Andrej Shadura 2025 年 10 月 6 日 https://wiki.debian.org/LTS
- -------------------------------------------------------------------------
程序包git 版本 1:2.30.2-1+deb11u5 CVE ID CVE-2025-27613 CVE-2025-46835 CVE-2025-48384
CVE-2025-27613
使用 Gitk即 Git 历史记录浏览器当用户克隆不受信任的存储库并在不使用其他命令参数的情况下运行 gitk 时可创建并截断用户具有写入权限的文件。之前必须在 Gitk 的首选项中启用“支持每个文件编码”选项。默认情况下,此选项为禁用状态。当在主窗口中使用了“显示此行的来源”时会发生相同情况无论是否启用“支持按文件编码”。
CVE-2025-46835
当用户克隆不受信任的存储库时被诱骗编辑位于该存储库中恶意命名的目录中的文件则 Git GUI 可以创建并覆盖用户有写入权限的文件。
CVE-2025-48384
读取配置值时,Git 会剥离所有尾部回车和换行 (CRLF)。写入配置条目时,未引用具有尾部 CR 的值,导致之后读取配置时 CR 丢失。初始化子模块时,如果子模块路径包含尾部 CR,则读取经修改的路径,导致子模块被检出到错误位置。如果存在将修改的路径指向子模块挂钩目录的符号链接,并且子模块包含可执行的签出后挂钩,则在签出后可能会意外执行脚本。
对于 Debian 11 Bullseye这些问题已在版本 1:2.30.2-1+deb11u5 中修复。
建议您升级 git 程序包。
如需了解 git 的详细安全状态,请参阅其安全跟踪页面:
https://security-tracker.debian.org/tracker/git
有关 Debian LTS 安全公告、如何将这些更新应用到系统以及常见问题解答的更多信息,请访问以下网址:https://wiki.debian.org/LTS
Tenable 已直接从 Debian 安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级 git 程序包。另见
https://security-tracker.debian.org/tracker/source-package/git
https://security-tracker.debian.org/tracker/CVE-2025-27613
https://security-tracker.debian.org/tracker/CVE-2025-46835
插件详情
严重性: High
ID: 266697
文件名: debian_DLA-4323.nasl
版本: 1.1
类型: local
代理: unix
发布时间: 2025/10/6
最近更新时间: 2025/10/6
支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Critical
分数: 9.2
CVSS v2
风险因素: High
基本分数: 7.2
时间分数: 6
矢量: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2025-48384
CVSS v3
风险因素: High
基本分数: 8.5
时间分数: 7.9
矢量: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:L
时间矢量: CVSS:3.0/E:F/RL:O/RC:C
CVSS 分数来源: CVE-2025-46835
漏洞信息
CPE: p-cpe:/a:debian:debian_linux:git-all, p-cpe:/a:debian:debian_linux:git-daemon-run, cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:git-mediawiki, p-cpe:/a:debian:debian_linux:git-doc, p-cpe:/a:debian:debian_linux:git-svn, p-cpe:/a:debian:debian_linux:gitk, p-cpe:/a:debian:debian_linux:git-daemon-sysvinit, p-cpe:/a:debian:debian_linux:git, p-cpe:/a:debian:debian_linux:git-cvs, p-cpe:/a:debian:debian_linux:git-gui, p-cpe:/a:debian:debian_linux:gitweb, p-cpe:/a:debian:debian_linux:git-man, p-cpe:/a:debian:debian_linux:git-el, p-cpe:/a:debian:debian_linux:git-email
必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
可利用: true
易利用性: Exploits are available
补丁发布日期: 2025/10/6
漏洞发布日期: 2025/7/8
CISA 已知可遭利用的漏洞到期日期: 2025/9/15