PT-2024-1690 · Libgit2+4 · Libgit2+4
Ethomson
·
Publicado
2024-02-06
·
Atualizado
2025-01-28
·
CVE-2024-24575
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
Versões da libgit2 anteriores à 1.7.2
Descrição
A vulnerabilidade está relacionada à função
git revparse single, que pode entrar em um loop infinito quando recebe entradas maliciosamente criadas, podendo causar um ataque de negação de serviço. A função revparse em src/libgit2/revparse.c usa um loop para analisar a string de especificação fornecida pelo usuário, e existe um caso extremo que permite que um invasor force as condições do loop para acessar memória arbitrária, podendo levar a vazamentos de memória.Recomendações
Para versões do libgit2 anteriores à 1.7.2, atualize para a versão 1.7.2 para resolver o problema. Como solução temporária, considere restringir o uso da função
git revparse single para minimizar o risco de exploração. Evite usar a função git revparse single com entradas não confiáveis até que o problema seja resolvido.Exploit
Correção
DoS
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Linuxmint
Red Os
Suse
Ubuntu
Libgit2