来源

secunia.com

软件

gitolite 1.x

描述

1)特定操作没有被准确限制，这可被恶意的gitolite管理员获取比如说shell权限的事情
2)public key的文件名没有被准确过滤，这可通过特定命名的key文件来导致注入并执行shell命令

解决方案

更新到V1.4.1或最新
注意：2)漏洞在V1.4.0中已经修复，如果您想从V1.4.0更新，重命名或删除一个public key文件，点击以下的链接来获取信息
1e06fea3b6959faeb72d8dca46cd4753ada48637.
http://github.com/sitaramc/gitol ... dca46cd4753ada48637