Gits utgivelse av versjon 2.48.1 i januar 2025 Patch Tuesday tar for seg to nylig identifiserte sikkerhetssårbarheter som utgjorde betydelig risiko for utviklere over hele verden.
Sårbarhetene, CVE-2024-50349 og CVE-2024-52006, begge involverer potensiell utnyttelse av Gits legitimasjonsadministrasjonsprosesser, noe som understreker kritisk betydning av robuste sikkerhetspraksis i åpen kildekode-utvikling.
Disse sårbarhetene ble avslørt av sikkerhetsforsker RyotaK, med rettelser utviklet av Johannes Schindelin i samarbeid med den private git-security-e-postlisten.
GitHub sier det har tatt proaktive skritt for å redusere disse risikoene ved å distribuerer oppdateringer på tvers av verktøyene og plattformene.
Relatert: Januar 2025 Patch Tuesday: Microsoft patcher 159 sårbarheter i Hyper-V, OLE og mer
Forstå sårbarhetene: En nærmere titt
CVE-2024-50349 avslører en feil i hvordan Git håndterer interaktive legitimasjonsmeldinger. Når Git ber om brukerinndata for legitimasjon, viser den vertsnavnet etter dekoding av URL-en.
Denne virkemåten lar angripere bygge inn ANSI-escape-sekvenser i ondsinnede URL-er, og kan potensielt skape villedende meldinger. Slikt bedrag kan lure utviklere til utilsiktet å avsløre sensitiv legitimasjon.
En annen sårbarhet, CVE-2024-52006, påvirker Gits legitimasjonshjelperprotokoll. Legitimasjonshjelpere forenkler prosessen med å lagre og hente legitimasjon, men denne feilen lar angripere sette inn vognretur-tegn i spesiallagde URL-er.
Relatert: GitHub-Project tilbyr å blokkere alle kjente AI-webcrawlere via ROBOTS.TXT
Denne manipulasjonen endrer protokollstrømmen, og omdirigerer brukerlegitimasjon til uautoriserte servere. Som Schindelin bemerket,”Reparasjonene adresserer atferd der enkeltvognreturtegn tolkes som nylinjer av noen legitimasjonshjelperimplementeringer.”
Begge sårbarhetene er ikke enestående. CVE-2024-52006 bygger på en tidligere rapportert feil, CVE-2020-5260, som fremhever utviklingen av trusler i legitimasjonsadministrasjon.
GitHubs svar
I erkjenner den potensielle effekten av disse sårbarhetene, GitHub rullet raskt ut oppdateringer til nøkkelverktøy, inkludert GitHub Desktop, Git LFS og Git Credential Manager
I tillegg brukte GitHub sikkerhetsoppdateringer til Codespaces-miljøet og CLI-kommandolinjeverktøy, som forsterker økosystemet sitt mot lignende risikoer. Plattformen understreket viktigheten av samarbeid for å løse disse problemene, og sa:”Våre proaktive tiltak sikrer at utviklere forblir beskyttet mens de bruker GitHubs tjenester.”
Relatert: GitHub kunngjør ny GitHub Copilot gratisplan for Visual Studio
GitHub også utgitt beste praksis for utviklere som ikke umiddelbart kan oppdatere til Git 2.48.1. Anbefalinger inkluderer å unngå –recurse-submodules flagget under kloningsoperasjoner fra uklarerte arkiver og begrense avhengigheten av legitimasjonshjelpere.
Anbefalinger for utviklere
Utviklere anbefales sterkt å oppgradere til Git 2.48.1 for å redusere disse risikoene fullt ut. Den nyeste versjonen inkluderer oppdateringer for CVE-2024-50349 og CVE-2024-52006, samt andre sikkerhetsforbedringer. For de som står overfor forsinkelser i oppdateringen, gir GitHubs retningslinjer midlertidige strategier for å minimere eksponeringen.
Sårbarhetene fremhever bredere utfordringer med å sikre åpen kildekode-verktøy. Gits utbredte bruk på tvers av utviklingsteam gjør den til en kritisk komponent i moderne programvarearbeidsflyter, og enhver sikkerhetsfeil kan ha kaskadeeffekter på prosjekter og organisasjoner.
Relatert: GitHub Copilot legger til kodereferanser i Visual Studio
