PT-2024-1689 · Libgit2+6 · Libgit2+6
Ethomson
·
Publicado
2024-02-06
·
Atualizado
2025-09-22
·
CVE-2024-24577
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões da libgit2 anteriores à 1.6.5
Versões da libgit2 anteriores à 1.7.2
Descrição
O problema está relacionado a uma vulnerabilidade de corrupção de heap na função
has dir name, localizada em src/libgit2/index.c, que pode ser explorada para a execução de código arbitrário. Isso pode ocorrer ao usar entradas maliciosamente criadas para git index add, permitindo que um invasor remoto execute potencialmente código arbitrário. A vulnerabilidade se deve à liberação de uma entrada que não deveria ser liberada, a qual é posteriormente usada e sobrescrita com dados potencialmente controlados por agentes mal-intencionados, levando à corrupção controlada da pilha.Recomendações
Para versões anteriores à 1.6.5, atualize para a versão 1.6.5 ou posterior.
Para versões anteriores à 1.7.2, atualize para a versão 1.7.2 ou posterior.
Como solução temporária, considere restringir o uso da função
git index add até que um patch esteja disponível.Evite usar a função
has dir name em src/libgit2/index.c até que o problema seja resolvido.Exploit
Correção
Buffer Overflow
Heap Based Buffer Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Astra Linux
Linuxmint
Red Os
Suse
Ubuntu
Libgit2