Git’in, en kritik olanı (CVE-2024-32002) saldırganlar tarafından bir “klonlama” işlemi sırasında uzaktan kod yürütmek için kullanılabilen beş güvenlik açığına yönelik düzeltmelerle birlikte yeni Git sürümleri çıktı.
Git hakkında
Git, işbirlikçi yazılım geliştirmeye yönelik yaygın olarak popüler, dağıtılmış bir sürüm kontrol sistemidir. Windows, macOS, Linux ve çeşitli *BSD dağıtımlarını çalıştıran makinelere kurulabilir.
Web tabanlı yazılım geliştirme platformları GitHub ve GitLab, Git’i temel alır. Microsoft’un entegre geliştirme ortamı olan Visual Studio, doğrudan yerleşik Git araçlarına (MinGit) sahiptir ve diğer IDE’ler buna güvenir.
CVE-2024-32002 ve diğer sabit güvenlik açıkları
CVE-2024-32002 alt modüllere sahip özel hazırlanmış Git depolarının Git’i kandırıp dosyaları bir dosyaya yazmasına izin veren kritik bir güvenlik açığıdır. .git/ alt modülün çalışma ağacı yerine dizin.
“Bu, Git’i bir dizin ve sembolik bir bağlantıyla karıştırmanın birleşimiyle mümkündür; bu yalnızca Git’in birini veya diğerini yazabilmesi ancak ikisini birden yazamaması durumunda farklılık gösterir. Bu karışıklık, Git’i klonlama işlemi devam ederken yürütülecek bir kanca yazması için manipüle etmek için kullanılabilir, bu da kullanıcıya yürütülen kodu inceleme fırsatı vermez,” diye açıkladı Windows için Git sorumlusu Johannes Schindelin.
CVE-2024-32004 aynı zamanda uzaktan kod yürütülmesine de izin verir, ancak yalnızca çok kullanıcılı makinelerde: “Bir saldırgan, bir nesnesi eksik olan kısmi bir klon gibi görünecek şekilde yerel bir depo hazırlayabilir, böylece bu depo klonlandığında Git isteğe bağlı kod çalıştıracaktır. işlem sırasında klonu gerçekleştiren kullanıcının tüm izinleriyle.”
CVE-2024-32465 saldırganların güvenilmeyen depoları klonlamaya yönelik korumaları atlamasına izin verebilir, CVE-2024-32020 güvenilmeyen kullanıcıların klonlanmış (yerel) depodaki nesneleri değiştirmesine izin verebilir ve CVE-2024-32021 Git’i, Git çalışma ağacının ve Git çalışma ağacının dışındaki dosyalara yazmak üzere manipüle etmek için kullanılabilir. .git/ dizin.
Düzeltmeler ve güvenlik değişiklikleri
Güvenlik açıkları Git v2.45.1, v2.44.1, v2.43.4, v2.42.2, v2.41.1, v2.40.2 ve v2.39.4’te düzeltildi.
Ayrıca klonlama sürecini daha güvenli hale getirmek için Git’te daha fazla değişiklik yapıldığını da paylaştı: uzaktan kod yürütmeye karşı koruma iyileştirmeleri, sembolik bağlantıların ve dizinlerin daha iyi işlenmesi, kancaları (komut dosyaları) çalıştırmanın daha güvenli bir yolu ve daha fazlası.
“Bu güvenlik açıklarına karşı korunmak için Git’in en son sürümüne yükseltme yapmak çok önemli. Hemen güncelleme yapamıyorsanız, lütfen depoları nereden kopyaladığınıza dikkat edin,” diye tavsiyede bulundu Schindelin.
Git’in sabit sürümleri, en son GitHub Desktop sürümlerine (Windows ve macOS için) eklenmiştir. CVE-2024-32002 ve CVE-2024-32004 için düzeltmeler (1, 2) Visual Studio’da uygulandı.