漏洞信息详情
Gitolite 目录遍历漏洞
- CNNVD编号:CNNVD-201210-197
- 危害等级: 中危
- CVE编号: CVE-2012-4506
- 漏洞类型: 路径遍历
- 发布时间: 2012-10-16
- 威胁类型: 远程
- 更新时间: 2019-09-10
- 厂 商: sitaram_chamarty
- 漏洞来源:
漏洞简介
Gitolite是Sitaram Chamarty程序员所研发的一套基于Perl语言的Git服务管理工具。该工具使用公钥对用户进行认证,并支持通过配置文件对写操作进行基于分支和路径的授权。
Gitolite 3.1之前的3.x版本中存在目录遍历漏洞,可被恶意攻击利用绕过某些安全限制。该漏洞源于处理某些操作时存在错误,攻击者可利用该漏洞通过目录遍历攻击以gitolite服务器特权,执行操作。成功的利用需要使用所有卡片存储库并允许匹配‘../’字符串模式。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://github.com/sitaramc/gitolite/commit/f636ce3ba3e340569b26d1e47b9d9b62dd8a3bf2
参考网址
来源:SECUNIA
链接:http://secunia.com/advisories/50896
来源:BID
链接:https://www.securityfocus.com/bid/55853
来源:CONFIRM
链接:https://github.com/sitaramc/gitolite/commit/f636ce3ba3e340569b26d1e47b9d9b62dd8a3bf2
来源:CONFIRM
链接:https://groups.Google.com/forum/#!topic/gitolite/K9SnQNhCQ-0/discussion
来源:MLIST
链接:http://www.openwall.com/lists/oss-security/2012/10/10/2
来源:XF
链接:https://exchange.xforce.ibmcloud.com/vulnerabilities/79130
来源:MLIST
链接:http://www.openwall.com/lists/oss-security/2012/10/10/1
受影响实体
- Sitaram_chamarty Gitolite:3.0
- Sitaram_chamarty Gitolite:3.01
- Sitaram_chamarty Gitolite:3.02
- Sitaram_chamarty Gitolite:3.03
- Sitaram_chamarty Gitolite:3.04
补丁
- Gitolite 目录遍历漏洞的修复措施
评论