CVE-2022-23521 ve CVE-2022-41903, Git kodunda bulunan kritik kusurlardır. Neyse ki, en son sürümünde bu sorunlar giderildi.
X41 D-SEC GmbH (Eric Sesterhenn ve Markus Vervier) ve GitLab’dan (Joern Schneeweisz) güvenlik uzmanları, sponsorlu bir güvenlik kaynak kodu denetiminde Git’in kodunda dikkate değer iki kritik kusur buldu. Üst düzey denetim raporuna göre, Git’teki bir güvenlik açığı genellikle kaynak kodu depolarını ve geliştirici sistemlerini tehlikeye atabilir, ancak “kurnaz” olanlar büyük ölçekli ihlallere neden olabilir. Microsoft, insan etkileşimine dayanmıyorsa, bunun yerine kötü amaçlı yazılımın savunmasız bir sistemden diğerine yayılmasına izin veriyorsa, bir kusuru “kurtulabilir” olarak tanımlar.
İzlenen iki kritik kusur CVE-2022-23521 ve CVE-2022-41903tehdit aktörlerinin bir sistemin belleğindeki taşma zayıflıklarından yararlandıktan sonra potansiyel olarak kötü amaçlı yazılım çalıştırmalarına izin verebilir.
Git’in kodunda toplam sekiz güvenlik açığı bulundu. Bahsettiğimiz kritik olanlara ek olarak, uzmanlar ayrıca bir orta dereceli, bir yüksek ve dört düşük dereceli derece buldular. Bulunan diğer 27 sorunun doğrudan bir güvenlik etkisi yoktur.
X41 ve GitLab’dan alınan tam denetim raporunun bir kopyası burada bulunabilir.
Öneri ve geçici çözüm
Bu kritik güvenlik açıklarından yararlanmaya karşı korunmanın en kolay yolu, en son Git sürümüne yükseltmektir. 2.39.1ayrıca GitLab örneğinizi şu sürümlerden birine güncelleyin: 15.7.5, 15.6.6ve 15.5.9.
Windows için Git’in 2.39.1 sürümü ayrıca CVE-2022-41953 olarak izlenen kusuru giderir.
Araştırmacılar, Git kullananların güvenli paketleyiciler kullanmaya devam etmelerini ve yaygın bellek güvenliği sorunlarını azaltmak için stratejiler geliştirmelerini tavsiye ediyor. Ayrıca, uzunluk değerlerinin işaretli tamsayı türündeki değişkenlerde saklanmasını da önermediler.
“Veri giriş uzunluğu üzerinde sağlık kontrolleri ve güvenli sarmalayıcıların kullanımı gibi genel sağlamlaştırmaların tanıtılması, kısa vadede yazılımın güvenliğini artırabilir. Uzunluk değerlerini depolamak için işaretli tamsayı türü değişkenlerin kullanımı yasaklanmalıdır. Ek olarak, yazılım uzunluk ve boyut değerleri için tamsayı ve uzun değişken türlerinin kullanımına ilişkin derleyici düzeyi kontrollerinden yararlanabilir. Oluşturma işlemi sırasında ilgili derleyici uyarılarının etkinleştirilmesi, geliştirme sürecinin erken aşamalarında sorunların belirlenmesine yardımcı olabilir.”
BleepingComputer’a göre, CVE-2022-41903 adresine yükseltme yapamayan kullanıcılar bunun yerine bu geçici çözümü uygulamak isteyebilir:
- Güvenilmeyen depolarda ‘git arşivi’ni devre dışı bırakın veya güvenilmeyen depolarda komutu çalıştırmaktan kaçının
- “git arşivi”, “git daemon” aracılığıyla açığa çıkarsa, “git config –global daemon.uploadArch false” komutunu çalıştırarak güvenilmeyen depolarla çalışırken devre dışı bırakın
CVE-2022-23521: Sınır Dışı (OOB) Yazmaya Yönelik Kesilmiş Tahsis
Bir OOB Yazma, yazılım bir arabelleğin başına veya sonuna veri yazdığında, veri bozulmasına, sistemin çökmesine veya kod yürütülmesine neden olduğunda gerçekleşir. OOB Yazma, yığın tabanlı arabellek taşması olarak sınıflandırılan bir kusurdur.
Bu kusur, Git hazırlanmış bir dosyayı ayrıştırdığında tetiklenir. .gitattributes bir taahhüt geçmişinin parçası olabilen ve birden çok tamsayı taşmasına neden olan (sarmalamalar olarak da bilinir) dosya. Bu, programın bir tamsayı türünün depolayabileceğinden çok daha büyük bir değeri veya sayıyı depolamaya çalıştığı anlamına gelir.
Böyle bir durumda, OOB okuma ve yazma işlemleri gerçekleşebilir ve bu da uzaktan kod yürütülmesine neden olabilir.
CVE-2022-41903: Günlük Biçimlendirmede OOB Yazma
Bu kusur, Git’in taahhütler hakkında rasgele bilgileri görüntüleyen taahhüt biçimlendirme mekanizmasında bulunur. Git bir doldurma işlecini işlerken bir tamsayı taşması meydana gelebilir. OOB okumaları ve yazmaları, taşma dışında gerçekleşebilir ve kötüye kullanılması durumunda uzaktan kod yürütülmesine yol açar.
Bu güvenlik açıklarına ayrıntılı, teknik bir dalış, tam denetim raporundadır.
Tehditleri sadece rapor etmiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.