阿里云漏洞库

漏洞描述

当Git for Visual Studio不正确地清理输入时，也称为“ Git for Visual Studio远程执行代码漏洞”，则存在一个远程执行代码漏洞。此CVE ID在CVE-2019-1349，CVE-2019-1350，CVE-2019-1352，CVE-2019-1387中是唯一的。

解决建议

厂商已发布了漏洞修复程序，请及时关注更新：
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-1354

参考链接
http://lists.opensuse.org/opensuse-security-announce/2020-01/msg00056.html
http://lists.opensuse.org/opensuse-security-announce/2020-05/msg00003.html
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2019-1354
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1354
https://public-inbox.org/git/xmqqr21cqcn9.fsf%40gitster-ct.c.googlers.com/
https://security.gentoo.org/glsa/202003-30

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	microsoft	visual_studio_2017	*	From (including) 15.0	Up to (excluding) 15.9.18
	运行在以下环境
	应用	microsoft	visual_studio_2019	*	From (including) 16.0	Up to (excluding) 16.4.1
	运行在以下环境
	系统	alibaba_cloud_linux_3	git	*		Up to (excluding) 2.27.0-1.1.al8
	运行在以下环境
	系统	alpine_3.10	git	*		Up to (excluding) 2.22.2-r0
	运行在以下环境
	系统	alpine_3.11	git	*		Up to (excluding) 2.24.1-r0
	运行在以下环境
	系统	alpine_3.12	git	*		Up to (excluding) 2.24.1-r0
	运行在以下环境
	系统	alpine_3.13	git	*		Up to (excluding) 2.24.1-r0
	运行在以下环境
	系统	alpine_3.14	git	*		Up to (excluding) 2.24.1-r0
	运行在以下环境
	系统	alpine_3.15	git	*		Up to (excluding) 2.24.1-r0
	运行在以下环境
	系统	alpine_3.16	git	*		Up to (excluding) 2.24.1-r0
	运行在以下环境
	系统	alpine_3.17	git	*		Up to (excluding) 2.24.1-r0
	运行在以下环境
	系统	alpine_3.18	git	*		Up to (excluding) 2.24.1-r0
	运行在以下环境
	系统	alpine_3.19	git	*		Up to (excluding) 2.24.1-r0
	运行在以下环境
	系统	alpine_3.7	git	*		Up to (excluding) 2.15.4-r0
	运行在以下环境
	系统	alpine_3.8	git	*		Up to (excluding) 2.18.2-r0
	运行在以下环境
	系统	alpine_3.9	git	*		Up to (excluding) 2.20.2-r0
	运行在以下环境
	系统	amazon_2	git	*		Up to (excluding) 2.23.1-1.amzn2.0.1
	运行在以下环境
	系统	amazon_AMI	git	*		Up to (excluding) 2.14.6-1.61.amzn1
	运行在以下环境
	系统	debian_10	git	*		Up to (excluding) 2.20.1-2+deb10u1
	运行在以下环境
	系统	debian_11	git	*		Up to (excluding) 2.24.0-2
	运行在以下环境
	系统	debian_12	git	*		Up to (excluding) 2.24.0-2
	运行在以下环境
	系统	fedora_30	git	*		Up to (excluding) 2.21.1-1.fc30
	运行在以下环境
	系统	fedora_31	git	*		Up to (excluding) 2.24.1-1.fc31
	运行在以下环境
	系统	opensuse_Leap_15.1	git	*		Up to (excluding) 2.26.1-lp151.4.9.1
	运行在以下环境
	系统	suse_12_SP4	git-core	*		Up to (excluding) 2.12.3-27.22.1
	运行在以下环境
	系统	suse_12_SP5	git-core	*		Up to (excluding) 2.12.3-27.22.1
	运行在以下环境
	系统	ubuntu_16.04	git	*		Up to (excluding) 2.7.4-0ubuntu1.7
	运行在以下环境
	系统	ubuntu_18.04	git	*		Up to (excluding) 2.17.1-1ubuntu0.5

攻击路径

远程
攻击复杂度

复杂
权限要求

无需权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

100

CWE-ID	漏洞类型
CWE-20	输入验证不恰当

低危 Git for Visual Studio 远程执行代码漏洞

漏洞描述

解决建议

参考链接

受影响软件情况