Git, saldırganların yığın tabanlı arabellek taşması zayıflıklarından başarıyla yararlandıktan sonra rasgele kod yürütmesine izin verebilecek iki kritik önem dereceli güvenlik açığını yamaladı.
Güvenilmeyen bir arama yolu zayıflığının neden olduğu Git GUI aracını etkileyen Windows’a özgü üçüncü bir kusur, kimliği doğrulanmamış tehdit aktörlerinin güvenilmeyen kod düşük karmaşıklıklı saldırılar gerçekleştirmesine olanak tanır.
İlk iki güvenlik açığı (taahhüt biçimlendirme mekanizmasındaki CVE-2022-41903 ve .gitattributes ayrıştırıcısındaki CVE-2022-23521), v2.30.7’ye kadar uzanan yeni sürümlerde Çarşamba günü yamalandı.
CVE-2022-41953 olarak izlenen üçüncüsü hala bir yama bekliyor, ancak kullanıcılar depoları klonlamak veya güvenilmeyen kaynaklardan klonlamayı önlemek için Git GUI yazılımını kullanmayarak sorunu çözebilirler.
X41 (Eric Sesterhenn ve Markus Vervier) ve GitLab’dan (Joern Schneeweisz) güvenlik uzmanları, bu güvenlik açıklarını Git’in OSTIF tarafından desteklenen bir güvenlik kaynak kodu denetiminin parçası olarak buldu.
“Keşfedilen en ciddi sorun, bir saldırganın klonlama veya çekme işlemleri sırasında yığın tabanlı bir bellek bozulmasını tetiklemesine olanak tanır ve bu da kod yürütülmesine neden olabilir. Bir başka kritik sorun da, genellikle Git forges tarafından gerçekleştirilen bir arşiv işlemi sırasında kod yürütülmesine izin verir.” X41 güvenlik uzmanları söyledi.
“Ayrıca, hizmet reddi durumlarına, sınır dışı okumalara veya büyük girdilerde kötü bir şekilde ele alınan köşe vakalarına yol açabilecek çok sayıda tamsayı ile ilgili sorun belirlendi.”
| paket | Etkilenen sürümler | Yamalı sürümler |
| windows için git | <=2.39.0(2) | >=2.39.1 |
| git | <= v2.30.6, v2.31.5, v2.32.4, v2.33.5, v2.34.5, v2.35.5, v2.36.3, v2.37.4, v2.38.2, v2.39.0 | >= v2.30.7, v2.31.6, v2.32.5, v2.33.6, v2.34.6, v2.35.6, v2.36.4, v2.37.5, v2.38.3, v2.39.1 |
Her durumda, bu güvenlik açıklarından yararlanmaya çalışan saldırılara karşı savunma yapmanın en etkili yolu Git’in en son sürümüne (v2.39.1) yükseltme yapmaktır.
CVE-2022-41903 kritik uzaktan kod yürütme hatasını gidermek için hemen güncelleme yapamayan kullanıcılar, saldırganların savunmasız Git işlevini kötüye kullanmamasını sağlamak için aşağıdaki önlemleri alabilir:
- Güvenilmeyen depolarda ‘git arşivi’ni devre dışı bırakın veya güvenilmeyen depolarda komutu çalıştırmaktan kaçının
- “git arşivi”, “git daemon” aracılığıyla açığa çıkarsa, “git config –global daemon.uploadArch false” komutunu çalıştırarak güvenilmeyen depolarla çalışırken devre dışı bırakın
“Biz şiddetle tavsiye ederim bir sürümü çalıştıran tüm kurulumların sorunlardan etkilendiğini [..] vardır mümkün olan en kısa sürede en son sürüme yükseltildi,” GitLab uyardı.