A Git 2.48.1-es verziójának 2025. januári javítási keddi kiadása két újonnan azonosított biztonsági réseket, amelyek világszerte jelentős kockázatokat jelentettek a fejlesztők számára.
A biztonsági rések, CVE-2024-50349 és CVE-2024-52006, mindkettő magában foglalja a Git hitelesítőadat-kezelési folyamatainak potenciális kihasználását, kiemelve a a robusztus biztonsági gyakorlatok kritikus fontossága a nyílt forráskódú fejlesztésben.
Ezek a biztonsági rések a RyotaK biztonságkutató hozta nyilvánosságra, a javításokat Johannes Schindelin fejlesztette ki a privát git-security levelezőlistával együttműködve.
A GitHub szerint proaktív lépéseket tett e kockázatok mérséklésére frissítések telepítésével eszközei és platformjai között.
Kapcsolódó: 2025. januári javítások keddje: a Microsoft javítja a 159-es biztonsági réseket a Hyper-V-ben, az OLE-ben és egyebekben.
A sebezhetőségek megértése: közelebbről
CVE-2024-50349 hibát tár fel a Git interaktív hitelesítő adatkéréseinek kezelésében. Amikor a Git felhasználói bevitelt kér a hitelesítési adatokhoz, az URL dekódolása után megjeleníti a gazdagépnevet.
Ez a viselkedés lehetővé teszi a támadók számára, hogy ANSI escape szekvenciákat ágyazzanak be rosszindulatú URL-ekbe, ami félrevezető figyelmeztetéseket eredményezhet. Az ilyen megtévesztés ráveheti a fejlesztőket érzékeny hitelesítő adatok véletlen felfedésére.
Egy másik biztonsági rés, a CVE-2024-52006, hatással van a Git hitelesítő adatkezelő protokolljára. A hitelesítő adatkezelők leegyszerűsítik a hitelesítő adatok tárolásának és lekérésének folyamatát, de ez a hiba lehetővé teszi a támadók számára, hogy kocsivisszaadási karaktereket szúrjanak be speciálisan kialakított URL-ekbe.
Kapcsolódó: A GitHub-Project felajánlja az összes ismert mesterséges intelligencia-webrobot blokkolását a ROBOTS.TXT-n keresztül
Ez a manipuláció megváltoztatja a protokolladatfolyamot, és a felhasználói hitelesítő adatokat jogosulatlanokhoz irányítja át szerverek. Amint Schindelin megjegyezte: „A javítások olyan viselkedésre vonatkoznak, amikor az egykocsi-vissza karaktereket egyes hitelesítési segédprogramok újsorként értelmezik.”
Mindkét sebezhetőség nem példa nélküli. A CVE-2024-52006 egy korábban bejelentett hibára épül, CVE-2020-5260, amely kiemeli a fenyegetések változó természetét a hitelesítő adatok kezelésében. p>
A GitHub válasza
A fentiek lehetséges hatásának felismerése A sebezhetőségek miatt a GitHub gyorsan frissítette a kulcsfontosságú eszközöket, köztük a GitHub Desktopot, a Git LFS-t és a Git Credential Managert.
Emellett a GitHub biztonsági javításokat is alkalmazott Codespaces környezetére és a CLI parancssori eszköz, amely megerősíti ökoszisztémáját a hasonló kockázatokkal szemben. A platform hangsúlyozta az együttműködés fontosságát ezek kezelésében problémákat, és kijelenti: „Proaktív intézkedéseink biztosítják, hogy a fejlesztők továbbra is védettek maradjanak a GitHub szolgáltatásainak használata közben.”
Kapcsolódó: A GitHub új GitHub Copilot ingyenes csomagot jelent be a Visual Studio számára
A GitHub bevált módszereket is kiadott azoknak a fejlesztőknek, akik nem tudnak azonnal frissíteni a Git 2.48.1-re. Az ajánlások közé tartozik a –recurse-submodules megjelölés elkerülése a nem megbízható adattárakból származó klónozási műveletek során, valamint a hitelesítő adatokra való támaszkodás korlátozása.
Javaslatok fejlesztőknek
A fejlesztőknek erősen javasoljuk, hogy frissítsenek a Git 2.48.1-re a kockázatok teljes mérséklése érdekében. A legújabb verzió a CVE-2024-50349 és CVE-2024-52006 javításokat, valamint egyéb biztonsági fejlesztéseket tartalmaz. Azok számára, akiknél késik a frissítés, a GitHub irányelvei átmeneti stratégiákat kínálnak a kitettség minimalizálására.
A sérülékenységek a nyílt forráskódú eszközök biztosításának szélesebb körű kihívásaira hívják fel a figyelmet. A Git széles körben elterjedt használata a fejlesztői csapatok között a modern szoftveres munkafolyamatok kritikus összetevőjévé teszi, és minden biztonsági hiba lépcsőzetes hatást gyakorolhat a projektekre és a szervezetekre.
Kapcsolódó: A GitHub másodpilóta kódhivatkozást ad hozzá. a Visual Studio
ban
