Mandriva Linux 安全公告：git (MDVSA-2015:169)

high Nessus 插件 ID 82422

语言：

简介

远程 Mandriva Linux 主机缺少一个或多个安全更新。

描述

更新后的 git 程序包修复了安全漏洞：

据报告 git 若用作不区分大小写文件系统中的客户端，当客户端执行 git pull 时可允许覆盖 .git/config 文件。由于 git 允许在 pull 上提交 .Git/config（或任何大小写变换），因此这会替换用户的 .git/config。如果此恶意 config 文件包含定义的外部命令（例如用于调用和编辑器，或者外部 diff 实用工具），可允许以运行 git 客户端的用户权限执行任意代码 (CVE-2014-9390)。

解决方案

更新受影响的数据包。

另见

http://advisories.mageia.org/MGASA-2014-0546.html

插件详情

严重性: High

ID: 82422

文件名: mandriva_MDVSA-2015-169.nasl

版本: 1.5

类型: local

系列: Mandriva Local Security Checks

发布时间: 2015/3/30

最近更新时间: 2021/1/14

风险信息

VPR

风险因素: High

分数: 7.4

漏洞信息

CPE: p-cpe:/a:mandriva:linux:git, p-cpe:/a:mandriva:linux:git-arch, p-cpe:/a:mandriva:linux:git-core, p-cpe:/a:mandriva:linux:git-core-oldies, p-cpe:/a:mandriva:linux:git-cvs, p-cpe:/a:mandriva:linux:git-email, p-cpe:/a:mandriva:linux:git-prompt, p-cpe:/a:mandriva:linux:git-svn, p-cpe:/a:mandriva:linux:gitk, p-cpe:/a:mandriva:linux:gitview, p-cpe:/a:mandriva:linux:gitweb, p-cpe:/a:mandriva:linux:lib64git-devel, p-cpe:/a:mandriva:linux:perl-git, cpe:/o:mandriva:business_server:2

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2015/3/30

可利用的方式

Core Impact

Metasploit (Malicious Git and Mercurial HTTP Server For CVE-2014-9390)

参考资料信息

CVE: CVE-2014-9390

MDVSA: 2015:169