Mindenki frissítsen a Giten
Súlyos sebezhetőségek a rendszerben, távoli kódfuttatásra is van lehetőség.
Elkészült a Git verziókezelő rendszer friss kiadása, amely több komoly biztonsági rést foltoz - a javítások telepítése különösen ajánlott mindenkinek, aki a fejlesztői eszköztárat használja. A hiba a Git szerverhez csatlakozó gépeken távoli kódfuttatást tesz lehetővé (tehát teljesen kiszolgáltatja a gépet távoli támadóknak), ehhez elegendő az áldozatot rávenni egy rosszindulató repó klónozására. A hibát Etienne Stalmans fedezte fel, Twitteren egyébként hozzáfűzte, hogy a hibával a GitHub Pages oldalán is távoli kódfuttatást tudott elérni.
Problémás validáció
A első hiba oka, hogy a Git az almodulok neveit a .gitmodules fájlból rendes validálás nélkül tölti be, mielőtt a $GIT_DIR/modules-hez illeszti, így a megfelelően választott almodul-nevekkel a támadó mappát válthat, illetve kódot futtathat. Ez utóbbira normál esetben nem lenne lehetőség, a Git klónozáskor nem húzza le a kódfuttatást lehetővé tévő .git/config állományt (ez tartalmazhat scripteket, amelyek bizonyos események után futnak le). A védelmet azonban a sebezhetőséggel meg lehet kerülni, így szerveroldalon dönthet arról a támadó, hogy mit futtasson le a Git a kliensen.
A hiba megoldása viszonylag egyszerű, a szubmodulok mappaneveit erősebb validációval fogadja a Git, a nevek nem tartalmazhatnak ".."-ot a névben és nem lehetnek szimbolikus linkek. A szabályt nem tisztelő repókat már nem fogadják a nagyobb Git-kiszolgálók.
A második, szintén most javított hiba az NTFS fájlrendszert használó gépeken használható ki, az elérési útvonalak feldolgozásakor tud a támadó a rendszer memóriájából olvasni.
Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.
Ami különösen érdekes, hogy a hibák több platformon is élesek, nem kötődnek az operációs rendszerhez. Ez annyira igaz, hogy a Git for Windows is sebezhető, ebből a Microsoft már ki is adta a javított változatot, a Visual Studio Team Services oldalán pedig a cég aktívan blokkolja majd a rosszindulatú repókat, védendő azokat, akik még nem frissítették a kliensszoftvereket. A VS2017 még nem frissült, a Microsoft mérnökei most készítik a javítást és várhatóan hamarosan közzéteszik azt.
A hibákat a legfrissebb, 2.17.1-es verzió javítja, de a fejlesztők backportolták a javításokat a régebbi Git-kiadásokhoz is, így a 2.13.7, 2.14.4, 2.15.2 és 2.16.4-es verziók is mentesek a sebezhetőségektől.