Lansarea versiunii 2.48.1 de către Git la Patch Tuesday din ianuarie 2025 abordează două nou identificate vulnerabilități de securitate care prezentau riscuri semnificative pentru dezvoltatorii din întreaga lume.
Vulnerabilitățile, CVE-2024-50349 și CVE-2024-52006, ambele implică exploatarea potențială a proceselor de gestionare a acreditărilor Git, subliniind importanța critică a practicilor solide de securitate în dezvoltarea open-source.
Aceste vulnerabilități au fost dezvăluite de cercetătorul de securitate RyotaK, cu remedieri dezvoltate de Johannes Schindelin în colaborare cu lista de corespondență privată git-security.
GitHub spunea luat măsuri proactive pentru a atenua aceste riscuri prin implementează actualizări pe instrumentele și platformele sale.
Legate: Patch-ul din ianuarie 2025 de marți: Microsoft corecește 159 vulnerabilități în Hyper-V, OLE și altele
Înțelegerea vulnerabilităților: o privire mai atentă
CVE-2024-50349 expune o defecțiune în modul în care Git gestionează solicitările interactive de acreditări. Când Git solicită introducerea utilizatorului pentru acreditări, afișează numele gazdei după decodificarea adresei URL.
Acest comportament permite atacatorilor să încorporeze secvențe de evadare ANSI în adrese URL rău intenționate, creând posibil solicitări înșelătoare. O astfel de înșelăciune ar putea păcăli dezvoltatorii să dezvăluie din neatenție acreditări sensibile.
O altă vulnerabilitate, CVE-2024-52006, afectează protocolul de ajutor de acreditări Git. Ajutoarele de acreditări simplifică procesul de stocare și de recuperare a acreditărilor, dar această defecțiune le permite atacatorilor să introducă caractere de returnare a căruciorului în adrese URL special concepute.
Legate: GitHub-Project oferă blocarea tuturor crawlerelor web AI cunoscute prin ROBOTS.TXT
Această manipulare modifică fluxul de protocol, redirecționând acreditările utilizatorului către persoane neautorizate servere. După cum a remarcat Schindelin, „Corectările abordează comportamentul în care caracterele de returnare a unui singur car sunt interpretate ca linii noi de către unele implementări de ajutor de acreditări.”
Ambele vulnerabilități nu sunt fără precedent. CVE-2024-52006 se bazează pe un defect raportat anterior, CVE-2020-5260, evidențiind natura evolutivă a amenințărilor în gestionarea acreditărilor.
Răspunsul GitHub
Recunoscând impactul potențial al acestor vulnerabilități, GitHub a lansat rapid actualizări ale instrumentelor cheie, inclusiv GitHub Desktop, Git LFS și Git Credential Manager
În plus, GitHub a aplicat corecții de securitate mediului său Codespaces și Instrument de linie de comandă CLI, consolidându-și ecosistemul împotriva riscurilor similare. Platforma a subliniat importanța colaborării în abordarea acestor probleme, afirmând: „Măsurile noastre proactive asigură că dezvoltatorii rămân protejați în timp ce folosesc serviciile GitHub.”
Legate: GitHub anunță un nou plan gratuit GitHub Copilot pentru Visual Studio
De asemenea, GitHub a lansat cele mai bune practici pentru dezvoltatorii care nu au putut să se actualizeze imediat la Git 2.48.1. Recomandările includ evitarea semnalului –recurse-submodules în timpul operațiunilor de clonare din depozite nede încredere și limitarea dependenței de ajutoarele de acreditări.
Recomandări pentru dezvoltatori
Dezvoltatorii sunt sfătuiți să facă upgrade la Git 2.48.1 pentru a atenua pe deplin aceste riscuri. Cea mai recentă versiune include corecții pentru CVE-2024-50349 și CVE-2024-52006, precum și alte îmbunătățiri de securitate. Pentru cei care se confruntă cu întârzieri în actualizare, orientările GitHub oferă strategii intermediare pentru a minimiza expunerea.
Vulnerabilitățile evidențiază provocări mai ample în securizarea instrumentelor open-source. Utilizarea pe scară largă a Git în echipele de dezvoltare îl face o componentă critică a fluxurilor de lucru software moderne, iar orice defecțiune de securitate poate avea efecte în cascadă asupra proiectelor și organizațiilor.
Legate: GitHub Copilot adaugă referințe de cod. în Visual Studio
