CVE-2017-1002151
Pagure에서 Private 저장소에 누구나 접근할 수 있는 취약점이 발생했다. Pagure는 git기반으로 Github과 같은 소스 저장소를 만드는 데 사용하는 프로그램이다.
Diff
변경된 소스 코드를 살펴보면 SSH 액세스를 구성하는 데 사용되는 gitolite 에서 프로젝트의 Private 여부를 확인하는 조건문이 추가되었다는 것을 확인할 수 있다.
@@ -126,7 +126,7 @@
repos = ''
config.append('repo %s%s' % (repos, project.fullname))
- if repos not in ['tickets/', 'requests/']:
+ if not project.private and repos not in ['tickets/', 'requests/']:
config.append(' R = @all')
if project.committer_groups:
config.append(' RW+ = @%s' % ' @'.join(