พบช่องโหว่ใน git client (CVE-2018-17456)
ในช่วงสัปดาห์ที่ผ่านมา Git มีการออก update เพื่ออุดช่องโหว่ remote execution ใน git version ที่ต่ำกว่า 2.14.5, 2.15.3, 2.16.5, 2.17.2, 2.18.1, 2.19.1
นาย Junio C Hamano พบช่องโหว่ CVE-2018-17456 โดยช่องโหว่ดังกล่าวจะเกิดขึ้นเมื่อมีการ download จาก git โดยใช้ option –recurse-submodules ซึ่งจะเป็นการไปอ่านค่าของ .gitmodules ซึ่งหากภายในไฟล์ดังกล่าวมีการเขียน URL ของ module นั้น ขึ้นต้นด้วย “-“(dash) ตัว git จะมองว่าเป็นการใช้งาน option แทน ซึ่งก็กลายเป็นการระบุการรัน option เพื่อรันคำสั่งได้นั่นเอง
ผลกระทบ: Remote Code Execution
ระบบที่ได้รับผลกระทบ: ก่อน 2.14.5, 2.15.x ก่อน 2.15.3, 2.16.x ก่อน 2.16.5, 2.17.x ก่อน 2.17.2, 2.18.x ก่อน 2.18.1, และ 2.19.x ก่อน 2.19.1
วิธีการแก้ไข: Update git ให้เป็น version 2.14.5, 2.15.3, 2.16.5, 2.17.2, 2.18.1, และ 2.19.1
Source:: marc.info