www.belgium.be Logo of the federal government

Kritieke Remote Code Execution (RCE) kwetsbaarheid in GIT

Referentie: 
Advisory #2018-26
Versie: 
1.0
Geïmpacteerde software: 
Git 2.14.5, 2.15.3, 2.16.5, 2.17.2, 2.18.1 en oudere versies
Type: 
Remote code execution
CVE/CVSS: 

 

 

Datum: 
09/10/2018

Bronnen

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-17456

https://blog.github.com/2018-10-05-git-submodule-vulnerability/

https://marc.info/?l=git&m=153875888916397&w=2

Risico’s

De kwetsbaarheid laat een kwaadwillende toe om code uit te voeren tijdens het verwerken van een recursieve “git clone” van een project dat de git repository gebruikt, indien het .gitmodules bestand een URL heeft die met het ‘-‘ karakter begint.

Beschrijving

Git 2.19.1 lost een Remote Code Execution (RCE) kwetsbaarheid op. Deze RCE kan code uitvoeren wanneer een geïnfecteerde repository gekloond wordt.

Aanbevolen acties

Om deze kwetsbaarheid te mitigeren is het aangeraden om de GitHub Desktop- en Atom applicatie te updaten naar de laatste versie. Ook de commandline versie van Git, inclusief andere applicaties die gebruik maken van de CLI functionaliteit moeten geüpdatet worden.