Git for Windows < 2.45.1 多個弱點
critical Nessus Plugin ID 202262
語系:
概要
遠端 Windows 主機上安裝的 Github for Windows 受到多個弱點影響。說明
遠端 Windows 主機上安裝的 Git for Windows 版本低於 2.45.1 ,因此會受到多個弱點影響:- 在支援符號連結的不區分大小寫的檔案系統上執行遞回複製時,容易受到大小寫混淆問題影響,攻擊者可利用此問題,在復製作業期間執行剛剛複制的程式碼。(CVE-2024-32002)
- 存放庫可設定為在本機複製期間執行任意程式碼。為解決此問題,v2.30.3 中引入的擁有權檢查現已延伸至涵蓋複製本機存放庫。(CVE-2024-32004)
- 當來源和目標存放庫位於相同磁碟上時,本機複製最終可能會將檔案硬連結至目標存放庫的物件資料庫。如果來源存放庫由其他使用者所擁有,則這些固定連結的檔案可能會在任何時間點由未受信任的使用者重寫。(CVE-2024-32020)
- 透過檔案系統複製含有符號連結的本機來源存放庫時,Git 可在與「objects/」目錄中的目標存放庫相同的檔案系統上為任意使用者可讀取的檔案建立固定連結。(CVE-2024-32021)
- 複製不受信任的存放庫應該是安全的,即使是從不受信任來源產生的 zip 封存或 tarball 解壓縮的存放庫亦然,但 Git 仍可能遭誘騙而在複製過程中執行任意程式碼。(CVE-2024-32465)
請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
升級至 Git for Windows 2.45.1 或更新版本。另請參閱
Plugin 詳細資訊
嚴重性: Critical
ID: 202262
檔案名稱: git_for_windows_2_45_1.nasl
版本: 1.2
類型: local
代理程式: windows
系列: Windows
已發布: 2024/7/12
已更新: 2024/7/15
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Critical
分數: 9.2
CVSS v2
風險因素: High
基本分數: 7.6
時間分數: 6
媒介: CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:C
CVSS 評分資料來源: CVE-2024-32002
CVSS v3
風險因素: Critical
基本分數: 9
時間分數: 8.1
媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:P/RL:O/RC:C
弱點資訊
CPE: cpe:/a:git_for_windows_project:git_for_windows
必要的 KB 項目: installed_sw/Git for Windows
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2024/4/25
弱點發布日期: 2024/4/25
參考資訊
CVE: CVE-2024-32002, CVE-2024-32004, CVE-2024-32020, CVE-2024-32021, CVE-2024-32465