Ang paglabas ni Git ng bersyon 2.48.1 noong Enero 2025 Patch Martes ay tumutugon sa dalawang bagong nakilala mga kahinaan sa seguridad na nagdulot ng malaking panganib sa mga developer sa buong mundo.
Ang mga kahinaan, CVE-2024-50349 at CVE-2024-52006, parehong may kinalaman sa potensyal na pagsasamantala sa mga proseso ng pamamahala ng kredensyal ng Git, na binibigyang-diin ang kritikal na kahalagahan ng matatag na kasanayan sa seguridad sa open-source development.
Ang mga kahinaang ito ay isiniwalat ng security researcher na RyotaK, na may mga pag-aayos na binuo ni Johannes Schindelin sa pakikipagtulungan sa pribadong git-security mailing list.
Sabi ng GitHub gumawa ito ng mga proactive na hakbang upang mabawasan ang mga panganib na ito sa pamamagitan ng pag-deploy mga update sa mga tool at platform nito.
Nauugnay: Enero 2025 Patch Martes: Microsoft Patches 159 Vulnerabilities sa Hyper-V, OLE, at Higit Pa
Pag-unawa sa Mga Kahinaan: Isang Mas Malapit na Pagtingin
CVE-2024-50349 ay naglalantad ng isang depekto sa kung paano pinangangasiwaan ng Git ang mga interactive na senyas ng kredensyal. Kapag humiling ang Git ng input ng user para sa mga kredensyal, ipinapakita nito ang hostname pagkatapos i-decode ang URL.
Ang gawi na ito ay nagbibigay-daan sa mga umaatake na mag-embed ng mga pagkakasunud-sunod ng pagtakas ng ANSI sa mga nakakahamak na URL, na posibleng lumikha ng mga mapanlinlang na senyas. Maaaring linlangin ng naturang panlilinlang ang mga developer na hindi sinasadyang magbunyag ng mga sensitibong kredensyal.
Isa pang kahinaan, CVE-2024-52006, nakakaapekto sa credential helper protocol ng Git. Pinapasimple ng mga kredensyal na katulong ang proseso ng pag-iimbak at pagkuha ng mga kredensyal, ngunit ang kapintasan na ito ay nagbibigay-daan sa mga umaatake na magpasok ng mga character ng carriage return sa mga espesyal na ginawang URL.
Nauugnay: Nag-aalok ang GitHub-Project na I-block ang Lahat ng Kilalang AI Web Crawler Sa pamamagitan ng ROBOTS.TXT
Binabago ng pagmamanipulang ito ang stream ng protocol, na nagre-redirect ng mga kredensyal ng user sa hindi awtorisadong mga server. Gaya ng binanggit ni Schindelin,”Ang pag-aayos ng pag-uugali ng address kung saan ang mga solong carriage return na character ay binibigyang-kahulugan bilang mga bagong linya ng ilang pagpapatupad ng kredensyal na katulong.”
Ang parehong mga kahinaan ay hindi pa naganap. CVE-2020-5260, na itinatampok ang umuusbong na katangian ng mga banta sa pamamahala ng kredensyal. p>
Tugon ng GitHub
Pagkilala sa potensyal na epekto ng mga ito mga kahinaan, mabilis na inilunsad ng GitHub ang mga update sa mga pangunahing tool, kabilang ang GitHub Desktop, Git LFS, at Git Credential Manager
Bukod pa rito, naglapat ang GitHub ng mga security patch sa kapaligiran ng Codespaces at CLI command line tool, na nagpapatibay sa ecosystem nito laban sa mga katulad na panganib. Binigyang-diin ng platform ang kahalagahan ng pakikipagtulungan sa pagtugon sa mga isyung ito, na nagsasabi,”Ang aming mga proactive na hakbang ay tinitiyak na ang mga developer ay mananatiling protektado habang ginagamit ang mga serbisyo ng GitHub.”
Kaugnay: GitHub Announces New GitHub Copilot Free Plan para sa Visual Studio
Naglabas din ang GitHub ng pinakamahuhusay na kagawian para sa mga developer na hindi agad makapag-update sa Git 2.48.1. Kasama sa mga rekomendasyon ang pag-iwas sa –recurse-submodules flag sa panahon ng cloning operations mula sa mga hindi pinagkakatiwalaang repository at paglilimita sa pag-asa sa mga kredensyal na katulong.
Mga Rekomendasyon para sa Mga Developer
Lubos na pinapayuhan ang mga developer na mag-upgrade sa Git 2.48.1 upang ganap na mabawasan ang mga panganib na ito. Kasama sa pinakabagong bersyon ang mga patch para sa CVE-2024-50349 at CVE-2024-52006, pati na rin ang iba pang mga pagpapahusay sa seguridad. Para sa mga nahaharap sa pagkaantala sa pag-update, ang mga alituntunin ng GitHub ay nagbibigay ng mga pansamantalang diskarte upang mabawasan ang pagkakalantad.
Ang mga kahinaan ay nagha-highlight ng mas malawak na hamon sa pag-secure ng mga open-source na tool. Ang malawakang paggamit ng Git sa mga development team ay ginagawa itong isang kritikal na bahagi ng mga modernong workflow ng software, at anumang kakulangan sa seguridad ay maaaring magkaroon ng mga cascading effect sa mga proyekto at organisasyon.
Kaugnay: Ang GitHub Copilot ay Nagdaragdag ng Code Referencing. sa Visual Studio
