Publicado el 18 mayo 2017

Elevación de privilegios en Git

Fecha de publicación: 17/05/2017

Importancia:
Alta

Recursos afectados:

Versiones de Git afectadas (notar que para verse afectado por la vulnerabilidad descrita, Git debe estar configurado para usar git-shell):

• 2.4.x desde 2.4.0 hasta 2.4.11
• 2.5.x desde 2.5.0 hasta 2.5.5
• 2.6.x desde 2.6.0 hasta 2.6.6
• 2.7.x desde 2.7.0 hasta 2.7.4
• 2.8.x desde 2.8.0 hasta 2.8.4
• 2.9.x desde 2.9.0 hasta 2.9.3
• 2.10.x desde 2.10.0 hasta 2.10.2
• 2.11.x desde 2.11.0 hasta 2.11.1
• 2.12.x desde 2.12.0 hasta 2.12.2.

Descripción:

Una vulnerabilidad en la shell git-shell de Git podría permitir a una atacante remoto autenticado conseguir elevación de privilegios.

Solución:

En este enlace se pueden encontrar las versiones actualizadas de la aplicación que ya no contienen la vulnerabilidad.

Detalle:

Un atacante podría aprovecharse de una insuficiente validación en la entrada de datos, enviando un nombre de repositorio que comience con guión, «-«, explotando de esta manera una vulnerabilidad que se saltaría la shell git-shell consiguiendo privilegios elevados en el sistema.

 

Fuente: INCIBE