Bir kaynak kodu denetimi, işbirliğine dayalı yazılım geliştirmeye yönelik popüler dağıtılmış sürüm kontrol sistemi olan git’i etkileyen iki kritik güvenlik açığını ortaya çıkardı.
En son git güvenlik açıkları
CVE-2022-41903, günlük biçimlendirmesinde sınırların dışında bir bellek yazma hatasıdır ve CVE-2022-23251, çok sayıda öznitelik aracılığıyla sınırların dışında yazmaya yol açan kesilmiş bir ayırmadır. Her ikisi de uzaktan kod yürütülmesine neden olabilir.
Kusurların her biri hakkında daha fazla teknik bilgi, X41 D-Sec araştırmacı uzmanları Eric Sesterhenn ve Markus Vervier tarafından hazırlanan bu gönderide bulunabilir. İkili, GitLab güvenlik mühendisi Joern Schneeweisz ile birlikte git’in kaynak kodunu manuel olarak ve kod analizi ve fuzzing araçlarıyla incelediler ve toplamda 35 güvenlik sorunu ortaya çıkardılar.
İki kritik sorunun yanı sıra, Windows için Git GUI’de yüksek önem düzeyine sahip bir kusur (CVE-2022-41953) de yamalanmıştır. Bu kusur, 俞晨东 tarafından keşfedildi.
GitHub yazılım mühendisi Taylor Blau, “Windows’a özgü sorun, Git GUI ile depoları klonlarken rasgele kod çalıştırmak için kullanılabilen mevcut çalışma dizinini içeren bir $PATH araması içeriyor” dedi ve git kullanıcılarına Git GUI’yi kullanmaktan kaçınmalarını tavsiye etti. güvenilmeyen depoları klonlarken Windows’ta.
Kullanıcılar ne yapmalı?
Windows, macOS ve Linux/Unix kullanıcılarının yeni git sürümlerini (v2.39.1) alıp uygulamaları önerilir.
“Hemen güncelleyemezseniz, aşağıdaki adımları uygulayarak riskinizi azaltın: -biçim mekanizmayı doğrudan bilinen operatörlerle çalıştırın ve çalıştırmaktan kaçının git arşivi güvenilmeyen depolarda ve ifşa ederseniz git arşivi üzerinden git arka plan programıçalıştırarak güvenilmeyen depolarla çalışıyorsanız devre dışı bırakmayı düşünün. git yapılandırma –global daemon.uploadArch yanlış”Blau tavsiyede bulundu.
GitLab ayrıca GitLab Community Edition (CE) ve Enterprise Edition’ın (EE) v15.7.5, 15.6.6 ve 15.5.9 sürümlerinde yamaları uygulamıştır ve tüm GitLab kurulumlarının mümkün olan en kısa sürede bu sürümlerden birine yükseltilmesini önerir. .
GitHub, GitHub.com’un bir saldırı vektörü olarak kullanılmasını önlemek için hafifletme adımları uyguladı, GitHub Dektop uygulamasını yamalarla güncelledi ve git’in yamalı sürümleriyle GitHub Codespaces, GitHub Actions ve GitHub Enterprise Server için zamanlanmış güncellemeler yaptı.
Canonical, en son git sürümüyle yeni Ubuntu paketleri yayınladı.
Git güvenliğini iyileştirme
Git kaynak kodu denetiminin Açık Kaynak Teknoloji Geliştirme Fonu (OSTIF) tarafından organize edildiğini ve git güvenliğini iyileştirmeye yönelik diğer çabaların sürdüğünü belirttiler.
“Bu projelerin her biri tamamlandığında, bu çabaların sonuçlarını açıklayacağız. Bu çabalar koalisyonu, git’teki ortak çıkarlarımız ve onun açık kaynak dünyasında oynadığı kritik rol aracılığıyla birleşiyor” diye eklediler.
“Git, dünyanın en yaygın kullanılan sürüm kontrol sistemidir ve yalnızca açık kaynağın değil, bugün kamu ve özel yazılım geliştirmenin büyük çoğunluğunun temelini oluşturur. Git’in altyapı olduğunu söylemek hafif kalır, yazılım geliştirmenin neredeyse her köşesine ulaşır ve yazılımı olan neredeyse her ürüne bir şekilde dokunur.
Denetimi gerçekleştiren araştırmacılar ayrıca git geliştiricileri için önerilerde bulundular: “Güvenli sarmalayıcıların kullanılması, kısa vadeli bir strateji olarak yazılımın genel güvenliğini artırabilir. Uzun vadeli bir iyileştirme stratejisi olarak, zaman sınırlamalı kod tabanlı yeniden düzenleme sprintleri ile müteakip güvenlik incelemeleri arasında geçiş yapmanızı öneririz.”