Bug 35480

Summary: CVE-2018-17456
Product: Sisyphus Reporter: Michael Shigorin <mike>
Component: gitAssignee: placeholder <placeholder>
Status: CLOSED FIXED QA Contact: qa-sisyphus
Severity: major    
Priority: P3 CC: aen, glebfm, ldv, nbr, placeholder
Version: unstableKeywords: security
Hardware: all   
OS: Linux   
URL: http://www.opennet.ru/opennews/art.shtml?num=49397

Description Michael Shigorin 2018-10-06 12:05:46 MSK 
Доступны внеплановые обновления Git 2.14.5, 2.15.3, 2.16.5, 2.17.2, 2.18.1 и 2.19.1, в которых устранена уязвимость (CVE-2018-17456), позволяющая атакующему выполнить свой код через подстановку специально оформленного файла .gitmodules в составе проекта, клонируемого с рекурсивным включением субмодулей (проблема проявляется только при выполнении операции "git clone --recurse-submodules").

Уязвимость вызвана тем, что извлекаемое из файла .gitmodules поле URL без проверки корректности значения передаётся в качестве аргумента в процесс "git clone". Если значение URL начинается с символа "-", то "git clone" обрабатывает его как опцию командной строки. Соответственно, злоумышленник имеет возможность через манипуляцию значением URL организовать выполнение произвольного скрипта в системе разработчика, выполняющего операцию клонирования.

(c)