BDU:2020-01903: Уязвимость компонента «credential.helper» распределенной системы управления версиями Git, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Описание уязвимости Уязвимость компонента «credential.helper» распределенной системы управления версиями Git существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации с помощью специально сформированного URL, содержащего символ новой строки, пустой хост или не указанную схему запроса
Вендор Red Hat Inc., Canonical Ltd., ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Novell Inc., Fedora Project, ООО «Ред Софт», Linus Torvalds, Junio Hamano, ООО «Юбитех»
Наименование ПО Red Hat Enterprise Linux, Ubuntu, Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, Astra Linux Common Edition (запись в едином реестре российских программ №4433), OpenSUSE Leap, Fedora, РЕД ОС (запись в едином реестре российских программ №3751), Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), Git, UBLinux (запись в едином реестре российских программ №6874)
Версия ПО
  • 7 (Red Hat Enterprise Linux)
  • 16.04 LTS (Ubuntu)
  • 1.5 «Смоленск» (Astra Linux Special Edition)
  • 18.04 LTS (Ubuntu)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 8.0 (Debian GNU/Linux)
  • 9.0 (Debian GNU/Linux)
  • 2.12 «Орёл» (Astra Linux Common Edition)
  • 8 (Red Hat Enterprise Linux)
  • 15.1 (OpenSUSE Leap)
  • 30 (Fedora)
  • 10.0 (Debian GNU/Linux)
  • 31 (Fedora)
  • 19.10 (Ubuntu)
  • до 7.2 Муром (РЕД ОС)
  • 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
  • 32 (Fedora)
  • 8.0 Update Services for SAP Solutions (Red Hat Enterprise Linux)
  • до 2.26.2 (Git)
  • до 21.01 (UBLinux)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Недостаточная проверка вводимых данных, Недостаточная защита регистрационных данных
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 14.04.2020
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,3)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Git:
https://github.com/git/git/commit/9a6bbee8006c24b46a85d29e7b38cfa79e9ab21b
https://github.com/git/git/security/advisories/GHSA-qm7j-c969-7j4q

Для РЕД ОС:
Обновление программного обеспечения до актуальной версии

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2020-04/msg00027.html
https://lists.opensuse.org/opensuse-security-announce/2020-05/msg00003.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-5260

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/74Q7WVJ6FKLIN62VS2JD2XCNWK5TNKOW/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7TVS5UG6JD3MYIGSBKMIOS6AF7CR5IPI/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MOCTR2SEHCPSCOVUQJAGFPGKFMI2VE6V/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PN3FUOXKX3AXTULYV53ACABER2W2FSOU/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/XPCEOIFLLEF24L6GLVJVFZX4CREDEHDF/

Для Ubuntu:
https://usn.ubuntu.com/4329-1/

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2020-5260

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81

Для UBLinux:

https://security.ublinux.ru/ASA-202004-13/generate
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует в открытом доступе
Способ эксплуатации
  • Несанкционированный сбор информации
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
https://access.redhat.com/security/cve/cve-2020-5260
https://github.com/git/git/commit/9a6bbee8006c24b46a85d29e7b38cfa79e9ab21b
https://github.com/git/git/security/advisories/GHSA-qm7j-c969-7j4q
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/74Q7WVJ6FKLIN62VS2JD2XCNWK5TNKOW/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7TVS5UG6JD3MYIGSBKMIOS6AF7CR5IPI/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MOCTR2SEHCPSCOVUQJAGFPGKFMI2VE6V/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PN3FUOXKX3AXTULYV53ACABER2W2FSOU/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/XPCEOIFLLEF24L6GLVJVFZX4CREDEHDF/
https://lists.opensuse.org/opensuse-security-announce/2020-04/msg00027.html
https://lists.opensuse.org/opensuse-security-announce/2020-05/msg00003.html
https://nvd.nist.gov/vuln/detail/CVE-2020-5260
https://security.ublinux.ru/CVE-2020-5260
https://security-tracker.debian.org/tracker/CVE-2020-5260
https://usn.ubuntu.com/4329-1/
https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20201207SE16MD
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144
https://www.debian.org/security/2020/dsa-4657
https://www.opennet.ru/opennews/art.shtml?num=52734
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения