Revizija izvornog koda otkrila je dvije kritične ranjivosti koje utiču na Git, popularni distribuisani sistem kontrole verzija za kolaborativni razvoj softvera.
Najnovije Git ranjivosti
CVE-2022-41903 je greška u zapisu izvan granica memorije u formatiranju dnevnika, a CVE-2022-23251 je skraćena alokacija koja vodi do pisanja izvan granica preko velikog broja atributa. I jedno i drugo može rezultirati daljinskim izvršavanjem koda.
Više tehničkih informacija o svakoj od nedostataka možete pronaći u ovom postu od strane stručnjaka X41 D-Sec istraživača Erica Sesterhenna i Markusa Verviera. Njih dvojica, zajedno sa GitLab sigurnosnim inženjerom Joernom Schneeweiszom, pregledali su Git-ov izvorni kod ručno i pomoću alata za analizu koda i otkrili ukupno 35 sigurnosnih problema.
Osim dva kritična problema, velika greška (CVE-2022-41953) je također zakrpljena u Git GUI-u za Windows. Ovaj nedostatak je otkrio Yu Chendong (俞晨东).
“Problem specifičan za Windows uključuje traženje $PATH uključujući trenutni radni direktorij, koji se može iskoristiti za pokretanje proizvoljnog koda prilikom kloniranja repozitorija s Git GUI-om,” objasnio je GitHub softverski inženjer Taylor Blau i savjetovao git korisnike da izbjegavaju korištenje Git GUI-a na Windows-u prilikom kloniranja nepouzdanih repozitorija.
Šta bi korisnici trebali učiniti?
Korisnicima Windows, macOS-a i Linux/Unix-a se savjetuje da uzmu i implementiraju nove verzije Git-a (v2.39.1).
“Ako ne možete odmah ažurirati, smanjite rizik poduzimanjem sljedećih koraka: Izbjegavajte pozivanje mehanizma –format direktno kod poznatih operatera i izbjegavajte pokretanje git arhive u nepouzdanim repozitorijumima, a ako izložite git arhivu putem git demona, razmislite da ga onemogućite ako radite sa nepouzdanim repozitorijumima tako što ćete pokrenuti git config –global daemon.uploadArch false ”, savjetovao je Blau.
GitLab je također implementirao zakrpe u verzijama v15.7.5, 15.6.6 i 15.5.9 GitLab Community Edition (CE) i Enterprise Edition (EE), i preporučuje da sve GitLab instalacije budu nadograđene na jednu od ovih verzija što je prije moguće.
GitHub je implementirao korake ublažavanja kako bi spriječio da se GitHub.com koristi kao vektor napada, ažurirao je GitHub Desktop aplikaciju zakrpama i zakazao ažuriranja GitHub Codespaces-a, GitHub Actions-a i GitHub Enterprise Server-a sa zakrpljenim verzijama Git-a.
Canonical je objavio nove Ubuntu pakete sa najnovijom git verzijom.
Poboljšanje sigurnosti Git-a
Reviziju izvornog koda Git-a organizovao je Open Source Technology Improvement Fund (OSTIF), a napominju da su u toku i drugi napori za poboljšanje sigurnosti Git-a.
“Rezultate tih napora ćemo objaviti kako svaki od ovih projekata bude završen. Ova koalicija napora ujedinjena je kroz naše zajedničke interese u Git-u i kritičnu ulogu koju on igra u svijetu otvorenog koda”, dodali su.
“Git je sistem kontrole verzija koji se najčešće koristi u svijetu, i on pruža podršku ne samo otvorenom kodu, već i ogromnoj većini javnog i privatnog razvoja softvera danas. Reći da je Git infrastruktura je potcjenjivanje, on dopire do gotovo svakog ugla razvoja softvera i dotiče gotovo svaki proizvod koji ima softver na ovaj ili onaj način.”
Istraživači koji su izvršili reviziju također su ponudili preporuke za Git programere: „Upotreba sigurnih omota može poboljšati ukupnu sigurnost softvera kao kratkoročnu strategiju. Kao dugoročnu strategiju poboljšanja, preporučujemo da se naizmjenično mijenjaju vremenski ograničeni sprintovi refaktorisanja baze koda i naknadni sigurnosni pregledi.”
Izvor: Help Net Security