Gitolite 目录遍历漏洞

漏洞信息详情

Gitolite 目录遍历漏洞

• CNNVD编号：CNNVD-201210-197
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2012-4506
  
• 漏洞类型：
  
  
  路径遍历
  
• 发布时间：
  
  2012-10-16
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2019-09-10
  
• 厂        商：
  
  sitaram_chamarty
• 漏洞来源：

Gitolite是Sitaram Chamarty程序员所研发的一套基于Perl语言的Git服务管理工具。该工具使用公钥对用户进行认证，并支持通过配置文件对写操作进行基于分支和路径的授权。

Gitolite 3.1之前的3.x版本中存在目录遍历漏洞，可被恶意攻击利用绕过某些安全限制。该漏洞源于处理某些操作时存在错误，攻击者可利用该漏洞通过目录遍历攻击以gitolite服务器特权，执行操作。成功的利用需要使用所有卡片存储库并允许匹配‘../’字符串模式。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://github.com/sitaramc/gitolite/commit/f636ce3ba3e340569b26d1e47b9d9b62dd8a3bf2

来源:SECUNIA

链接:http://secunia.com/advisories/50896

来源:BID

链接:https://www.securityfocus.com/bid/55853

来源:CONFIRM

链接:https://github.com/sitaramc/gitolite/commit/f636ce3ba3e340569b26d1e47b9d9b62dd8a3bf2

来源:CONFIRM

链接:https://groups.google.com/forum/#!topic/gitolite/K9SnQNhCQ-0/discussion

来源:MLIST

链接:http://www.openwall.com/lists/oss-security/2012/10/10/2

来源:XF

链接:https://exchange.xforce.ibmcloud.com/vulnerabilities/79130

来源:MLIST

链接:http://www.openwall.com/lists/oss-security/2012/10/10/1