Vulnerabilidad en libgit2 (CVE-2023-22742)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
20/01/2023
Última modificación:
07/11/2023
Descripción
libgit2 es una implementación de librería vinculable y multiplataforma de Git. Cuando se utiliza un control remoto SSH con el backend libssh2 opcional, libgit2 no realiza la verificación de certificados de forma predeterminada. Las versiones anteriores de libgit2 requieren que la persona que llama establezca el campo `certificate_check` de la estructura `git_remote_callbacks` de libgit2; si no se establece una devolución de llamada de verificación de certificado, libgit2 no realiza ninguna verificación de certificado. Esto significa que, de forma predeterminada, sin configurar una devolución de llamada de verificación de certificado, los clientes no realizarán la validación de las claves SSH del servidor y pueden estar sujetos a un ataque de intermediario. Se anima a los usuarios a actualizar a v1.4.5 o v1.5.1. Los usuarios que no puedan actualizar deben asegurarse de que todos los certificados relevantes se verifiquen manualmente.
Impacto
Puntuación base 3.x
5.90
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:libgit2:libgit2:*:*:*:*:*:*:*:* | 1.4.5 (excluyendo) | |
| cpe:2.3:a:libgit2:libgit2:1.5.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2023/11/06/5
- https://github.com/libgit2/libgit2/commit/42e5db98b963ae503229c63e44e06e439df50e56
- https://github.com/libgit2/libgit2/commit/cd6f679af401eda1f172402006ef8265f8bd58ea
- https://github.com/libgit2/libgit2/releases/tag/v1.4.5
- https://github.com/libgit2/libgit2/releases/tag/v1.5.1
- https://github.com/libgit2/libgit2/security/advisories/GHSA-8643-3wh5-rmjq
- https://www.libssh2.org