Ortaya çıkarılan güvenlik açıkları arasında birkaç yüksek, orta ve düşük güvenlik sorunu yer alır
Git’in kaynak kodunun güvenlik denetimi, iki kritik taşma hatası da dahil olmak üzere çeşitli güvenlik açıklarını ortaya çıkardı.
Açık Kaynak Teknoloji Geliştirme Fonu’nun (OSTIF) sponsorluğunda ve X41 D-Sec ile GitLab tarafından gerçekleştirilen denetim, aynı zamanda birkaç yüksek, orta ve düşük güvenlik sorununu da içeriyordu.
Git’in popülaritesi ve popüler paketleme sistemlerine entegrasyonu göz önüne alındığında, güvenlik açıklarının yazılım tedarik zincirinin güvenliği üzerinde çok büyük bir etkisi olabilir.
Kötü klon operasyonu
Araştırmacıların keşfettiği en ciddi sorun, Git bir havuzun dosyasını ayrıştırdığında tetiklenebilecek bir bellek bozulması güvenlik açığıydı. Geliştiriciler, Git’in depolardaki satır sonları, dosya kodlamaları ve daha fazlası gibi farklı dosyaları ve dosya yollarını nasıl işlediğini özelleştirmek için .gitattributes kullanır.
Araştırmacılar, .gitattributes çok uzun bir öznitelik satırı veya çok sayıda öznitelik satırı içeriyorsa, bunun dosyayı ayrıştıran işlevde bir karşı taşmaya neden olacağını ve rasgele kod yürütülmesine yol açacağını keşfettiler.
GÜNLÜK YUTMA GİBİ Mİ? Burp Suite promosyonunu kazanma şansı için bize ne düşündüğünüzü söyleyin
Saldırgan, kötü amaçlı bir dosyayı bir havuza işleyerek bu açıktan yararlanabilir. Hata, kurban aradığında veya depoda olduğunda tetiklenir.
Hata, kurbanın bilgisayarında özel argümanlar veya komutlar gerektirmediğinden, tehlikeli tedarik zinciri saldırılarının önemli bir parçası haline gelebilir.
“Eğer [attackers] X41 D-Sec genel müdürü Markus Vervier, “Popüler bir kitaplıkta sahneleyebilirler, onu kullanan git istemcileri üzerinde bir etkiye sahip olabilirler, bu aynı zamanda yazılım yüklemek için ortak paket sistemlerini kullanan herkesi içerebilir” dedi. günlük yudum.
Vervier, hatanın GitHub veya GitLab gibi Git sunucularından yararlanmak için de kullanılabileceğini söyledi – ancak hem GitLab hem de GitHub’ın kendisinin zaten yamalanmış olduğunu ekledi.
Güzel ama kötü niyetli
Araştırmacıların keşfettiği ikinci kritik hata, genellikle GitHub ve GitLab gibi Git forge’ları tarafından gerçekleştirilen arşiv işlemleri sırasında kod yürütülmesine izin veriyordu.
ve komutları, güzel biçimlendirme kullanarak taahhütleri görüntüleyebilir. Doldurma işleçlerini işlerken, özel bir biçim belirtici örüntü kullanılırsa, güzel biçim ayrıştırıcısında bir tamsayı taşması meydana gelebilir.
Taşma hatası, bir kullanıcı komutu belirtici ile çalıştırırsa doğrudan veya komut mekanizma aracılığıyla çağrılırsa dolaylı olarak tetiklenir.
DevSecOps hakkında en son haberlerin devamını okuyun
GitLab güvenlik mühendisi Joern Schneeweisz, yaptığı yorumlarda, bir saldırganın komuta argüman enjeksiyonu yoluyla hatayı tetikleyebileceğini doğruladı. günlük yudum. Ancak daha ilginç olan saldırı vektörünün operasyon olduğunu söyledi.
Saldırgan, bir depodaki dosyaya bir ifade ekleyebilir. Schneeweisz, herhangi bir ek argümana ihtiyaç duymadan hatayı bir komutla tetikleyeceğini söyledi.
Schneeweisz, “Yük, havuz içinde kendi kendine yetecek ve çağrıldığında tetiklenecek,” dedi. “Rastgele depolarda çalıştırmak, GitLab veya GitHub gibi Git forge’ları için çok yaygın bir şeydir, bu nedenle bu sorun çoğunlukla bir RCE’dir. [remote code execution] olanlar için tehdittir.”
Tedarik zinciri tehdidi
Araştırmacılar, kritik güvenlik açıklarına ek olarak, hizmet reddine, sınır dışı okumalara veya büyük girdilerde kötü bir şekilde ele alınan köşe durumlarına yol açabilecek tamsayılarla ilgili birçok sorun buldu. Vervier, bulguların yazılım tedarik zincirlerinin güvenliğiyle çok ilgili olduğunu söyledi.
“Git, Rust/Cargo, Golang, NodeJS ve diğerleri gibi paket yöneticileri için bile yoğun bir şekilde kullanıldığından, temel olarak mevcut BT ortamında nihai tedarik zinciri saldırı vektörüdür. Aynı zamanda geliştirme için en yaygın kullanılan kaynak kod versiyonlama aracıdır” dedi.
ÖNERİLEN KAYNAKLAR CircleCI’yi Kareleme: DevOps platformu, son ihlalle ilgili otopsi yayınlıyor