Git for Windows 2.7.x < 2.7.6 / 2.8.x < 2.8.6 / 2.9.x < 2.9.5 / 2.10.x < 2.10.4 / 2.11.x < 2.11.13 / 2.12.x < 2.12.4 / 2.13.x < 2.13.5 / 2.14.x < 2.14.1 惡意 SSH URL 命令執行
high Nessus Plugin ID 102494
語系:
概要
遠端 Windows 主機上安裝了一個受到命令執行弱點影響的應用程式。說明
遠端主機上安裝的 Git for Windows 版本是 2.7.6 之前的 2.7.x 版、2.8.6 之前的 2.8.x 版、2.9.5 之前的 2.9.x 版、2.10.4 之前的 2.10.x 版、2.11.13 之前的 2.11.x 版、2.12.4 之前的 2.12.x 版、2.13.5 之前的 2.13.x 版,或 2.14.1 之前的 2.14.x 版。因此受到一個命令執行弱點影響,這是因處理「ssh://」的缺陷所致。以虛線為開頭的 URL。惡意特製的「ssh://」URL 造成 Git 用戶端執行任意殼層命令。這樣的 URL 可放進惡意專案的 .gitmodules 檔案中,而毫無戒心的受害者可能遭誘騙而執行「git clone --recurse-submodules」以觸發該弱點。解決方案
升級版本至 Git for Windows 2.7.6 / 2.8.6 / 2.9.5 / 2.10.4 / 2.11.13 / 2.12.4 / 2.13.5 / 2.14.1 或更新版本。另請參閱
http://www.nessus.org/u?894dcb77
http://www.nessus.org/u?c0aca1c0
http://www.nessus.org/u?4798389e
http://www.nessus.org/u?a099ed51
http://www.nessus.org/u?4c6ad422
http://www.nessus.org/u?6a506ef2
http://www.nessus.org/u?0d9668c9
http://www.nessus.org/u?d38639e5
Plugin 詳細資訊
嚴重性: High
ID: 102494
檔案名稱: git_for_windows_2_14_1.nasl
版本: 1.4
類型: local
代理程式: windows
系列: Windows
已發布: 2017/8/15
已更新: 2019/11/12
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: High
分數: 7.4
CVSS v2
風險因素: Medium
基本分數: 6.8
時間分數: 5.6
媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS 評分資料來源: CVE-2017-1000117
CVSS v3
風險因素: High
基本分數: 8.8
時間分數: 8.2
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:F/RL:O/RC:C
弱點資訊
CPE: cpe:/a:git_for_windows_project:git_for_windows
必要的 KB 項目: installed_sw/Git for Windows
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2017/8/10
弱點發布日期: 2017/8/10
可惡意利用
Metasploit (Malicious Git HTTP Server For CVE-2017-1000117)
參考資訊
CVE: CVE-2017-1000117