Debian dla-4610 ： git-lfs - 安全性更新

high Nessus Plugin ID 318111

語言:

概要

遠端 Debian 主機缺少安全性相關更新。

說明

遠端 Debian 11 主機已安裝的套件會受到 dla-4610 公告中提及的弱點影響。

- ------------------------------------------------------------------------- Debian LTS 公告 DLA-4610-1 [email protected] https://www.debian.org/lts/security/Andrej Shadura 2026 年 5 月 31 日 https://wiki.debian.org/LTS
- -------------------------------------------------------------------------

套件：git-lfs 版本：2.13.2-1+deb11u2 CVE 識別碼： CVE-2025-26625

在的 Git LFS 版本0.5.23.7.0中，當使用 Git LFS 物件的內容填入 Git 存放庫的工作樹狀結構時，如果存在與 Git LFS 追蹤的檔案路徑衝突的符號或硬式連結，某些 Git LFS 命令可能會寫入目前 Git 工作樹狀結構之外可見的檔案。

git lfs checkout 和 git lfs pull 命令不會在寫入工作樹狀結構中的檔案之前檢查符號連結，這允許攻擊者製作包含符號或硬式連結的存放庫，導致 Git LFS 寫入執行這些命令的使用者可存取的任意檔案系統位置。

此外，在裸存放庫中執行 git lfs checkout 和 git lfs pull 命令時，它們可能會寫入存放庫外部可見的檔案。
要完整修復此問題，特別是 git lfs pull 的行為，需要更新的 Git 版本或 2.42.0 更新版本。

因應措施是將 core.symlinks 組態選項設定為 false，以停用 Git 中對符號連結的支援，之後進一步的複製和擷取將不會建立符號連結。不過，現有存放庫中的任何符號或硬式連結仍會提供 Git LFS 寫入其目標的機會。

對於 Debian 11 bullseye，此問題已在 2.13.2-1+deb11u2 版本中部分修復。若要完整修復，也需要 Git 2.42.0 或更新版本。

建議您升級 git-lfs 套件。

如需有關 git-lfs 安全性狀態的詳細資訊，請參閱其安全追蹤頁面：
https://security-tracker.debian.org/tracker/git-lfs

有關 Debian LTS 安全公告、如何將這些更新套用至您的系統以及常見問題的詳細資訊，請參閱 : https://wiki.debian.org/LTS

Tenable 已直接從 Debian 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。