Git sérülékenységek
Angol cím: 
Git Submodule Name Validation Flaw Lets Remote Users Execute Arbitrary Code on the Target System
CERT-Hungary ID: 
CH-14441
Felfedezés dátuma: 
2018-05-29
Összefoglaló: 

A Git két sérülékenységét jelentették, amiket kihasználva a támadók bizalmas információkat szerezhetnek, vagy tetszőleges kódot futtathatnak a rendszeren.

Leírás: 
  • A szoftver nem megfelelően ellenőrzi a "names" almodult, ami egy nem megbízható .gitmodules állomány '$GIT_DIR/modules' könyvtárba való feltöltésekor következik be. Ennek következtében egy távoli repository létre tud hozni vagy felül tud írni fájlokat speciálisan megszerkesztett tartalommal a klónozás folyamata során, ami pedig tetszőleges kód végrehajtását eredményezheti.
  • Az NTFS alapú fájlrendszerek elérési útvonalak feldolgozásában lévő hibát kihasználva illetéktelenül lehet olvasni a memóriából.
Megoldás: 
Frissítsen a legújabb verzióra
Érintett verziók: 
Git 2.x