Global Preloader
Vulnerabilidad
(11/Aug/2017) Error de ejecución de comandos afecta a varios sistemas de control de versiones

Error de ejecución de comandos afecta a varios sistemas de control de versiones

Varios sistemas de control de versiones populares se ven afectados por una vulnerabilidad potencialmente grave de ejecución de comandos. Los desarrolladores de los productos impactados han publicado actualizaciones esta semana para parchear el agujero de seguridad.

La falla afecta a sistemas de control de versiones como Git (CVE-2017-1000117), Apache Subversion (CVE-2017-9800), Mercurial (CVE-2017-1000116) y CVS. No se ha asignado ningún identificador CVE para CVS, ya que el sistema se actualizó por última vez hace más de 9 años.

La vulnerabilidad, descubierta por Joern Schneeweisz de Recurity Labs, puede ser explotada por un atacante remoto para ejecutar comandos arbitrarios haciendo que el usuario objetivo haga clic en una URL "ssh: //" especialmente diseñada.

"Un tercero malintencionado puede proporcionar una URL 'ssh: // ...' a una víctima desprevenida, y un intento de visitar la URL puede resultar en cualquier programa que exista en la máquina de la víctima que se esté ejecutando. Tal URL podría colocarse en el archivo .gitmodules de un proyecto malicioso, y una víctima inocente podría ser engañada para ejecutar 'git clone --recurse-submodules' para activar la vulnerabilidad", explicaron los desarrolladores de Git en su aviso de seguridad.

Los desarrolladores de Git, Subversion y Mercurial han publicado parches y han proporcionado soluciones si están disponibles. El sistema Git es utilizado por las distribuciones populares de Linux, que también están trabajando en resolver el problema. GitLab también ha lanzado una corrección para esta vulnerabilidad, que la organización ha clasificado como "crítica".