Se ha descubierto una vulnerabilidad de seguridad para toda la industria identificada como CVE-2018-11235 en Git. La vulnerabilidad puede conducir a la ejecución de código arbitrario cuando un usuario realiza las operaciones en un repositorio malicioso.
CVE-2018-11235 Descripción oficial
En Git antes de 2.13.7, 2.14.x antes de 2.14.4, 2.15.x antes de 2.15.2, 2.16.x anterior a 2.16.4 y 2.17.x anterior a 2.17.1, puede producirse la ejecución remota de código. Con un archivo .gitmodules diseñado, un proyecto malicioso puede ejecutar un script arbitrario en una máquina que ejecuta "clone git -recurse-sub-modules" porque los "nombres" del submódulo se obtienen de este archivo y luego se agregan a $ GIT_DIR / modules, lo que lleva al recorrido del directorio con "../" un nombre. Finalmente, se ejecutan los ganchos post-extracción de un submódulo, sin pasar por el dibujo destinado a los ganchos que no se obtienen de un servidor remoto.
Microsoft informó recientemente que Git 2.17.1 y Git para Windows 2.17.1 (2) se han publicado e incluyen todas las correcciones necesarias. El equipo de Visual Studio Team (VSTS) toma los problemas de seguridad muy en serio, y alentamos a todos los usuarios a actualizar sus clientes de Git tan pronto como sea posible para solucionar esta vulnerabilidad, dice Microsoft .Microsoft ha bloqueado este tipo de repositorios maliciosos para que no sean enviados a VSTS. Esta acción ayuda a garantizar que VSTS no se pueda explotar como un vector para la transmisión de repositorios a sistemas vulnerables creados de manera malintencionada y que aún estén sujetos a CVE-2018-11235.Los usuarios que ejecuten Git para Windows deben descargar inmediatamente la última versión 2.17.1 (2).
Además, Visual Studio 2017 también está siendo parcheado y pronto habrá una solución disponible, Microsoft ha prometido.