偵測

GLSA-202401-17:libgit2: 權限提升弱點

high Nessus Plugin ID 188043

語系:

說明

遠端主機受到 GLSA-202401-17 中所述的弱點影響 (libgit2:權限提升弱點)

 -Git 是一款分散式版本控制系統。 2.37.1、2.36.2、2.35.4、2.34.4、2.33.4、2.32.3、2.31.4 和 2.30.5 版之前的 Git 在所有平台中都容易受到權限提升弱點影響。不知情的使用者仍可能受到 CVE-2022-24765 中報告的問題影響,例如,以 Root 身分瀏覽屬於他們的共用 tmp 目錄時,攻擊者可在該目錄中建立 git 存放庫。 2.37.1、2.36.2、2.35.4、2.34.4、2.33.4、2.32.3、2.31.4 和 2.30.5 版包含針對此問題的修補程式。若要避免受到範例中所述弱點的影響,最簡單的方法是避免以 Root (或 Windows 中的系統管理員) 身分執行 git,並在需要時最大限度地減少其使用。雖然沒有一般性因應措施,但可以移除任何已存在的此類存放庫,並以 Root 身分建立一個存放庫以阻止任何未來的攻擊,以此強化系統,使其免受範例中所述弱點影響。(CVE-2022-29187)

請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

所有 libgit2 使用者皆應升級至最新版本:

 # emerge --sync # emerge --ask --oneshot --verbose >=dev-libs/libgit2-1.4.4

另請參閱

https://security.gentoo.org/glsa/202401-17

https://bugs.gentoo.org/show_bug.cgi?id=857792

Plugin 詳細資訊

嚴重性: High

ID: 188043

檔案名稱: gentoo_GLSA-202401-17.nasl

版本: 1.0

類型: local

已發布: 2024/1/14

已更新: 2024/1/14

支援的感應器: Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: Medium

基本分數: 6.9

時間分數: 5.1

媒介: CVSS2#AV:L/AC:M/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2022-29187

CVSS v3

風險因素: High

基本分數: 7.8

時間分數: 6.8

媒介: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:gentoo:linux:libgit2, cpe:/o:gentoo:linux

必要的 KB 項目: Host/local_checks_enabled, Host/Gentoo/release, Host/Gentoo/qpkg-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2024/1/14

弱點發布日期: 2022/7/12

參考資訊

CVE: CVE-2022-29187