El lanzamiento de Git de la versión 2.48.1 el martes de parches de enero de 2025 aborda dos problemas recientemente identificados vulnerabilidades de seguridad que planteaban riesgos importantes para los desarrolladores de todo el mundo.
Las vulnerabilidades, CVE-2024-50349 y
Estas vulnerabilidades fueron revelados por el investigador de seguridad RyotaK, con correcciones desarrolladas por Johannes Schindelin en colaboración con la lista de correo privada git-security.
GitHub dice ha tomado medidas proactivas para mitigar estos riesgos mediante la implementación de actualizaciones en todas sus herramientas y plataformas.
Relacionado: Martes de parches de enero de 2025: Microsoft parchea 159 vulnerabilidades en Hyper-V, OLE y más
Comprensión de las vulnerabilidades: Una mirada más cercana
CVE-2024-50349 expone una falla en cómo Git maneja las solicitudes de credenciales interactivas. Cuando Git solicita la entrada del usuario para las credenciales, muestra el nombre del host después de decodificar la URL.
Este comportamiento permite a los atacantes incrustar secuencias de escape ANSI en URL maliciosas, lo que podría crear mensajes engañosos. Tal engaño podría engañar a los desarrolladores para que revelen inadvertidamente credenciales confidenciales.
Otra vulnerabilidad, CVE-2024-52006, afecta el protocolo auxiliar de credenciales de Git. Los asistentes de credenciales simplifican el proceso de almacenamiento y recuperación de credenciales, pero esta falla permite a los atacantes insertar caracteres de retorno de carro en URL especialmente diseñadas.
Relacionado: El proyecto GitHub ofrece bloquear todos los rastreadores web de IA conocidos a través de ROBOTS.TXT
Esta manipulación altera el flujo del protocolo y redirige las credenciales del usuario a sitios no autorizados. servidores. Como señaló Schindelin,”Las correcciones abordan el comportamiento en el que algunas implementaciones de ayuda de credenciales interpretan caracteres de retorno de carro únicos como nuevas líneas”.
Ambas vulnerabilidades no tienen precedentes. CVE-2024-52006 se basa en una falla reportada anteriormente,
Respuesta de GitHub
Al reconocer el impacto potencial de estas vulnerabilidades, GitHub rápidamente implementó actualizaciones para herramientas clave, incluidas GitHub Desktop, Git LFS y Git Credential Manager.
Además, GitHub aplicó parches de seguridad a su entorno Codespaces y herramienta de línea de comandos CLI, reforzando su ecosistema contra riesgos similares. La plataforma enfatizó la importancia de la colaboración para abordar estos problemas y afirmó: “Nuestras medidas proactivas garantizan que los desarrolladores permanezcan protegidos mientras usan Servicios de GitHub.”
Relacionado: GitHub anuncia el nuevo plan gratuito GitHub Copilot para Visual Studio
GitHub también lanzó mejores prácticas para desarrolladores que no pueden actualizar inmediatamente a Git 2.48.1. Las recomendaciones incluyen evitar el indicador –recurse-submodules durante operaciones de clonación desde repositorios que no son de confianza y limitar la dependencia de ayudas de credenciales.
Recomendaciones para desarrolladores
Se recomienda encarecidamente a los desarrolladores que actualicen a Git 2.48.1 para mitigar completamente estos riesgos. La última versión incluye parches para CVE-2024-50349 y CVE-2024-52006, así como otras mejoras de seguridad. Para aquellos que enfrentan retrasos en la actualización, las pautas de GitHub brindan estrategias provisionales para minimizar la exposición.
Las vulnerabilidades resaltan desafíos más amplios para proteger las herramientas de código abierto. El uso generalizado de Git entre los equipos de desarrollo lo convierte en un componente crítico de los flujos de trabajo de software modernos, y cualquier falla de seguridad puede tener efectos en cascada en proyectos y organizaciones.
Relacionado: GitHub Copilot agrega referencias de código en Visual Studio
