Poważna dziura w klientach Gita

[KopalniaWiedzy.pl 318]

W oprogramowaniu klienckim do obsługi Git, rozproszonego systemu kontroli wersji, występuje krytyczny błąd pozwalający napastnikowi na zdalne wykonywanie poleceń na zaatakowanym komputerze. Dziurę znaleziono zarówno w oryginalnym kliencie Git jak i programach firm trzecich bazujących na tym kodzie. Błędy występują w programach dla Windows i Mac OS X, gdyż wykorzystywane przez nie systemy plików nie odróżniają (przynajmniej w API) wielkich i małych liter.

Napastnik może stworzyć złośliwe drzewo Git, które spowoduje, że Git nadpisze własny plik konfiguracyjny w czasie klonowania lub sprawdzania repozytorium. Pozwala to napastnikowi na wykonywanie dowolnych komend - poinformował jeden z programistów GitHut.

Zespół pracujący przy projekcie Git opublikował już odpowiednie aktualizacje oprogramowania. Są to wersje 1.8.5.6, 1.9.5, 2.0.5, 2.1.4 oraz 2.2.1. Poprawiono też MSysGit, biblioteki libgit2 i JGit oraz oprogramowanie developerskie korzystające z tych bibliotek, m.in. Visual Studio, Xcode czy Mercurial.

« powrót do artykułu