製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

libgit2 における境界外読み取りに関する脆弱性

タイトル	libgit2 における境界外読み取りに関する脆弱性
概要	libgit2 には、境界外読み取りに関する脆弱性、および整数オーバーフローの脆弱性が存在します。
想定される影響	情報を取得される、およびサービス運用妨害 (DoS) 状態にされる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2018年7月9日0:00
登録日	2018年9月28日12:30
最終更新日	2018年9月28日12:30

CVSS3.0 : 重要
スコア	8.1
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:H

CVSS2.0 : 警告
スコア	5.8
ベクター	AV:N/AC:M/Au:N/C:P/I:N/A:P

影響を受けるシステム

Debian

Debian GNU/Linux

libgit2

libgit2 0.27.3 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2018-10887	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-10887
National Vulnerability Database (NVD)
2	CVE-2018-10887	https://nvd.nist.gov/vuln/detail/CVE-2018-10887

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-125	https://cwe.mitre.org/data/definitions/125.html
2	CWE-190	https://cwe.mitre.org/data/definitions/190.html

ベンダー情報

No	名前	URL
Debian
1	[SECURITY] [DLA 1477-1] libgit2 security update	https://lists.debian.org/debian-lts-announce/2018/08/msg00024.html
GitHub
2	delta: fix overflow when computing limit	https://github.com/libgit2/libgit2/commit/c1577110467b701dcbcf9439ac225ea851b47d22
3	delta: fix sign-extension of big left-shift	https://github.com/libgit2/libgit2/commit/3f461902dc1072acb8b7607ee65d0a0458ffac2a
4	libgit2 v0.27.3	https://github.com/libgit2/libgit2/releases/tag/v0.27.3

その他

No	名前	URL
関連文書
1	Bug 1598021	https://bugzilla.redhat.com/show_bug.cgi?id=1598021

変更履歴

No	変更内容	変更日
1	[2018年09月28日] 掲載	2018年9月28日12:30

NVD脆弱性情報

CVE-2018-10887

概要	A flaw was found in libgit2 before version 0.27.3. It has been discovered that an unexpected sign extension in git_delta_apply function in delta.c file may lead to an integer overflow which in turn leads to an out of bound read, allowing to read before the base object. An attacker may use this flaw to leak memory addresses or cause a Denial of Service.
公表日	2018年7月10日23:29
登録日	2021年3月1日18:44
最終更新日	2024年11月21日12:42

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:libgit2:libgit2::::::::					0.27.3

構成2		以上	以下	より上	未満
cpe:2.3:o:debian:debian_linux:8.0:::::::*
cpe:2.3:o:debian:debian_linux:9.0:::::::*

関連情報、対策とツール

No	URL	refsource	タグ
1	https://bugzilla.redhat.com/show_bug.cgi?id=1598021		Issue Tracking Patch
2	https://bugzilla.redhat.com/show_bug.cgi?id=1598021		Issue Tracking Patch
3	https://github.com/libgit2/libgit2/commit/3f461902dc1072acb8b7607ee65d0a0458ffac2a		Patch
4	https://github.com/libgit2/libgit2/commit/3f461902dc1072acb8b7607ee65d0a0458ffac2a		Patch
5	https://github.com/libgit2/libgit2/commit/c1577110467b701dcbcf9439ac225ea851b47d22		Patch
6	https://github.com/libgit2/libgit2/commit/c1577110467b701dcbcf9439ac225ea851b47d22		Patch
7	https://github.com/libgit2/libgit2/releases/tag/v0.27.3		Patch Release Notes
8	https://github.com/libgit2/libgit2/releases/tag/v0.27.3		Patch Release Notes
9	https://lists.debian.org/debian-lts-announce/2018/08/msg00024.html		Mailing List Third Party Advisory
10	https://lists.debian.org/debian-lts-announce/2018/08/msg00024.html		Mailing List Third Party Advisory
11	https://lists.debian.org/debian-lts-announce/2022/03/msg00031.html		Mailing List Third Party Advisory
12	https://lists.debian.org/debian-lts-announce/2022/03/msg00031.html		Mailing List Third Party Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-125	境界外読み取り	https://cwe.mitre.org/data/definitions/125.html
2	CWE-190	整数オーバーフローまたはラップアラウンド	https://cwe.mitre.org/data/definitions/190.html
3	CWE-681	数値型間の変換の誤り	https://cwe.mitre.org/data/definitions/681.html