Bug 31896

Summary: Закрыть CVE-2016-2324 и CVE‑2016‑2315
Product: Sisyphus Reporter: Vitaly Lipatov <lav>
Component: gitAssignee: placeholder <placeholder>
Status: CLOSED FIXED QA Contact: qa-sisyphus
Severity: normal    
Priority: P3 CC: cas, glebfm, ldv, mike, placeholder, rider
Version: unstable   
Hardware: all   
OS: Linux   
URL: https://habrahabr.ru/company/pt/blog/279483/

Description Vitaly Lipatov 2016-03-17 00:27:06 MSK 
Видимо, стоит обновить git или портировать патчи.

Две критические уязвимости в клиенте и серверной части Git (CVE-2016-2324 и CVE‑2016‑2315).

Воспользовавшись ими, злоумышленники могут осуществлять удаленное выполнение кода. Для этого необходимо создать репозиторий с деревом файлов с очень длинными названиями, а затем отправить «пуш» на удаленный уязвимый сервер или позволить уязвимому клиенту осуществить «пулл».
Comment 1 Dmitry V. Levin 2016-03-17 01:39:48 MSK 
Только CVE-2016-2315 исправлено в 2.7.1.
Релиза с фиксом CVE-2016-2324 ещё не было.
Comment 2 Repository Robot 2016-03-17 05:05:36 MSK 
git-2.6.5-alt3 -> sisyphus:

* Thu Mar 17 2016 Dmitry V. Levin <ldv@altlinux> 2.6.5-alt3
- Merged jk/path-name-safety-2.6 (closes: #31896).
Comment 3 Anton Farygin 2016-03-17 09:11:27 MSK 
И в бранчи бэкпортируйте, пожалуйста.