CVE-2018-11235 Vulnerabilidad de Git: comunicados de prensa de Microsoft Patch
Se ha descubierto una vulnerabilidad de seguridad para toda la industria identificada como CVE-2018-11235 en Git. La vulnerabilidad puede conducir a la ejecución de código arbitrario cuando un usuario realiza las operaciones en un repositorio malicioso.
CVE-2018-11235 Descripción oficial
En Git antes de 2.13.7, 2.14.x antes de 2.14.4, 2.15.x antes de 2.15.2, 2.16.x anterior a 2.16.4 y 2.17.x anterior a 2.17.1, puede producirse la ejecución remota de código. Con un archivo .gitmodules diseñado, un proyecto malicioso puede ejecutar un script arbitrario en una máquina que ejecuta "clone git -recurse-sub-modules" porque los "nombres" del submódulo se obtienen de este archivo y luego se agregan a $ GIT_DIR / modules, lo que lleva al recorrido del directorio con "../" un nombre. Finalmente, se ejecutan los ganchos post-extracción de un submódulo, sin pasar por el dibujo destinado a los ganchos que no se obtienen de un servidor remoto.
Microsoft informó recientemente que Git 2.17.1 y Git para Windows 2.17.1 (2) se han publicado e incluyen todas las correcciones necesarias. El equipo de Visual Studio Team (VSTS) toma los problemas de seguridad muy en serio, y alentamos a todos los usuarios a actualizar sus clientes de Git tan pronto como sea posible para solucionar esta vulnerabilidad, dice Microsoft .Microsoft ha bloqueado este tipo de repositorios maliciosos para que no sean enviados a VSTS. Esta acción ayuda a garantizar que VSTS no se pueda explotar como un vector para la transmisión de repositorios a sistemas vulnerables creados de manera malintencionada y que aún estén sujetos a CVE-2018-11235.Los usuarios que ejecuten Git para Windows deben descargar inmediatamente la última versión 2.17.1 (2).
Además, Visual Studio 2017 también está siendo parcheado y pronto habrá una solución disponible, Microsoft ha prometido.
Congratulations! This post has been upvoted from the communal account, @minnowsupport, by UntitledVzla from the Minnow Support Project. It's a witness project run by aggroed, ausbitbank, teamsteem, theprophet0, someguy123, neoxian, followbtcnews, and netuoso. The goal is to help Steemit grow by supporting Minnows. Please find us at the Peace, Abundance, and Liberty Network (PALnet) Discord Channel. It's a completely public and open space to all members of the Steemit community who voluntarily choose to be there.
If you would like to delegate to the Minnow Support Project you can do so by clicking on the following links: 50SP, 100SP, 250SP, 500SP, 1000SP, 5000SP.
Be sure to leave at least 50SP undelegated on your account.