製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

libgit2 における境界外読み取りに関する脆弱性

タイトル	libgit2 における境界外読み取りに関する脆弱性
概要	libgit2 には、境界外読み取りに関する脆弱性が存在します。
想定される影響	サービス運用妨害 (DoS) 状態にされる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2018年8月6日0:00
登録日	2018年11月7日16:53
最終更新日	2018年11月7日16:53

CVSS3.0 : 重要
スコア	7.5
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

CVSS2.0 : 警告
スコア	5
ベクター	AV:N/AC:L/Au:N/C:N/I:N/A:P

影響を受けるシステム

Debian

Debian GNU/Linux

libgit2

libgit2 0.26.6 未満

libgit2 0.27.4 未満の 0.27.x

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2018-15501	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-15501
National Vulnerability Database (NVD)
2	CVE-2018-15501	https://nvd.nist.gov/vuln/detail/CVE-2018-15501

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-125	https://cwe.mitre.org/data/definitions/125.html

ベンダー情報

No	名前	URL
Debian
1	[SECURITY] [DLA 1477-1] libgit2 security update	https://lists.debian.org/debian-lts-announce/2018/08/msg00024.html
GitHub
2	libgit2 v0.26.6	https://github.com/libgit2/libgit2/releases/tag/v0.26.6
3	libgit2 v0.27.4	https://github.com/libgit2/libgit2/releases/tag/v0.27.4
4	smart_pkt: fix potential OOB-read when processing ng packet	https://github.com/libgit2/libgit2/commit/1f9a8510e1d2f20ed7334eeeddb92c4dd8e7c649

その他

No	名前	URL
関連文書
1	Bug 1104641	https://bugzilla.suse.com/show_bug.cgi?id=1104641

変更履歴

No	変更内容	変更日
1	[2018年11月07日] 掲載	2018年11月7日16:53

NVD脆弱性情報

CVE-2018-15501

概要	In ng_pkt in transports/smart_pkt.c in libgit2 before 0.26.6 and 0.27.x before 0.27.4, a remote attacker can send a crafted smart-protocol "ng" packet that lacks a '\0' byte to trigger an out-of-bounds read that leads to DoS.
公表日	2018年8月18日11:29
登録日	2021年3月1日19:00
最終更新日	2024年11月21日12:50

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:o:debian:debian_linux:8.0:::::::*
cpe:2.3:o:debian:debian_linux:9.0:::::::*

構成2		以上	以下	より上	未満
cpe:2.3:a:libgit2:libgit2::::::::					0.26.6
cpe:2.3:a:libgit2:libgit2::::::::		0.27.0			0.27.4

関連情報、対策とツール

No	URL	refsource	タグ
1	https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=9406		Exploit Issue Tracking Patch Third Party Advisory
2	https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=9406		Exploit Issue Tracking Patch Third Party Advisory
3	https://bugzilla.suse.com/show_bug.cgi?id=1104641		Issue Tracking Patch Third Party Advisory
4	https://bugzilla.suse.com/show_bug.cgi?id=1104641		Issue Tracking Patch Third Party Advisory
5	https://github.com/libgit2/libgit2/commit/1f9a8510e1d2f20ed7334eeeddb92c4dd8e7c649		Patch Third Party Advisory
6	https://github.com/libgit2/libgit2/commit/1f9a8510e1d2f20ed7334eeeddb92c4dd8e7c649		Patch Third Party Advisory
7	https://github.com/libgit2/libgit2/releases/tag/v0.26.6		Release Notes Third Party Advisory
8	https://github.com/libgit2/libgit2/releases/tag/v0.26.6		Release Notes Third Party Advisory
9	https://github.com/libgit2/libgit2/releases/tag/v0.27.4		Release Notes Third Party Advisory
10	https://github.com/libgit2/libgit2/releases/tag/v0.27.4		Release Notes Third Party Advisory
11	https://lists.debian.org/debian-lts-announce/2018/08/msg00024.html		Mailing List Third Party Advisory
12	https://lists.debian.org/debian-lts-announce/2018/08/msg00024.html		Mailing List Third Party Advisory
13	https://lists.debian.org/debian-lts-announce/2022/03/msg00031.html		Mailing List Third Party Advisory
14	https://lists.debian.org/debian-lts-announce/2022/03/msg00031.html		Mailing List Third Party Advisory
15	https://www.pro-linux.de/sicherheit/2/44650/denial-of-service-in-libgit2.html		Third Party Advisory
16	https://www.pro-linux.de/sicherheit/2/44650/denial-of-service-in-libgit2.html		Third Party Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-125	境界外読み取り	https://cwe.mitre.org/data/definitions/125.html