Git gitweb "diff.external" 本地特权提升漏洞

admin

0
文章

0
评论

2022-07-29 10:05:17 CNNVD漏洞来源：ZONE.CI 全球网 0 阅读模式

漏洞信息详情

Git gitweb "diff.external" 本地特权提升漏洞

CNNVD编号：CNNVD-200901-238
危害等级：中危
CVE编号： CVE-2008-5916
漏洞类型：权限许可和访问控制
发布时间： 2009-01-21
威胁类型：本地
更新时间： 2009-04-22
厂商： git
漏洞来源： Git

漏洞简介

Git 1.6.0.6之前的1.6.x版本，1.5.6.6之前的1.5.6.x，1.5.5.6之前的1.5.5.x，1.5.4.7之前的1.5.4.x以及1.4.3之后的其他版本中的gitweb里的gitweb/gitweb.perl允许本地repository所有者通过修改diff.external配置变量和执行一个特制的gitweb query，来执行任意指令。

漏洞公告

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接： http://article.gmane.org/gmane.comp.version-control.git/103624 https://www.redhat.com/archives/fedora-package-announce/2008-December/msg01169.HTML https://www.redhat.com/archives/fedora-package-announce/2008-December/msg01170.HTML

参考网址

来源: FEDORA 名称: FEDORA-2008-11653 链接:https://www.redhat.com/archives/fedora-package-announce/2008-December/msg01170.HTML 来源: FEDORA 名称: FEDORA-2008-11650 链接:https://www.redhat.com/archives/fedora-package-announce/2008-December/msg01169.HTML 来源: XF 名称: git-gitweb-privilege-escalation(47528) 链接:http://xforce.iss.net/xforce/xfdb/47528 来源: UBUNTU 名称: USN-723-1 链接:http://www.ubuntu.com/usn/USN-723-1 来源: MLIST 名称: [oss-security] 20090120 Re: CVE request -- git 链接:http://www.openwall.com/lists/oss-security/2009/01/20/2 来源: MLIST 名称: [oss-security] 20090115 CVE request -- git 链接:http://www.openwall.com/lists/oss-security/2009/01/15/2 来源: GENTOO 名称: GLSA-200903-15 链接:http://www.gentoo.org/security/en/glsa/glsa-200903-15.xml 来源: SREASON 名称: 4922 链接:http://securityreason.com/securityalert/4922 来源: SECUNIA 名称: 34194 链接:http://secunia.com/advisories/34194 来源: SECUNIA 名称: 33964 链接:http://secunia.com/advisories/33964 来源: SECUNIA 名称: 33282 链接:http://secunia.com/advisories/33282 来源: OSVDB 名称: 50918 链接:http://osvdb.org/50918 来源: MLIST 名称: [linux-kernel] 20081220 [Security] gitweb local privilege escalation (fix) 链接:http://marc.info/?l=linux-kernel&m=122975564100863&w=2: 来源: MLIST 名称: [git] 20081220 [Security] gitweb local privilege escalation (fix) 链接:http://marc.info/?l=git&m=122975564100860&w=2