Bug 31896 - Закрыть CVE-2016-2324 и CVE‑2016‑2315
Summary: Закрыть CVE-2016-2324 и CVE‑2016‑2315
Status: CLOSED FIXED
Alias: None
Product: Sisyphus
Classification: Development
Component: git (show other bugs)
Version: unstable
Hardware: all Linux
: P3 normal
Assignee: placeholder@altlinux.org
QA Contact: qa-sisyphus
URL: https://habrahabr.ru/company/pt/blog/...
Keywords:
Depends on:
Blocks:
 
Reported: 2016-03-17 00:27 MSK by Vitaly Lipatov
Modified: 2016-03-17 09:11 MSK (History)
6 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Vitaly Lipatov 2016-03-17 00:27:06 MSK 
Видимо, стоит обновить git или портировать патчи.

Две критические уязвимости в клиенте и серверной части Git (CVE-2016-2324 и CVE‑2016‑2315).

Воспользовавшись ими, злоумышленники могут осуществлять удаленное выполнение кода. Для этого необходимо создать репозиторий с деревом файлов с очень длинными названиями, а затем отправить «пуш» на удаленный уязвимый сервер или позволить уязвимому клиенту осуществить «пулл».
Comment 1 Dmitry V. Levin 2016-03-17 01:39:48 MSK 
Только CVE-2016-2315 исправлено в 2.7.1.
Релиза с фиксом CVE-2016-2324 ещё не было.
Comment 2 Repository Robot 2016-03-17 05:05:36 MSK 
git-2.6.5-alt3 -> sisyphus:

* Thu Mar 17 2016 Dmitry V. Levin <ldv@altlinux> 2.6.5-alt3
- Merged jk/path-name-safety-2.6 (closes: #31896).
Comment 3 Anton Farygin 2016-03-17 09:11:27 MSK 
И в бранчи бэкпортируйте, пожалуйста.