The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Обновление Git с устранением уязвимостей

15.01.2025 14:31

Опубликованы корректирующие выпуски распределённой системы управления исходным кодом Git 2.41.3, 2.42.4, 2.43.6, 2.44.3, 2.45.3, 2.46.3, v2.47.2 и 2.48.1, в которых устранены две уязвимости:

  • CVE-2024-50349 - возможность подмены информации в интерактивном запросе пароля к репозитирию. Проблема вызвана отсутствием должной проверки имени хоста, в котором допускалось кодирование символов в формате %xx (URL Encoding). Атакующий мог использовать процентное кодирование для добавления в имя хоста escape-последовательностей, манипулирующих выводом на терминал.

    Таким способом, можно заменить текст приглашения аутентификации и создать у пользователя ощущение обращения к другому репозиторию, чтобы при обращении к репозиторию атакующего пользователь ввёл логин и пароль от другого хоста. Атака может быть совершена при выполнении рекурсивного клонирования субмодулей командой "git clone --recurse-submodules", при котором один из субмодулей может запросить пароль от другого хоста, но ввод будет отправлен на хост с репозиторием атакующего.

  • CVE-2024-52006 - в реализации протокола "credential helper", применяемого для передачи учётных данных при обращении к репозиториям c ограниченным доступом, выявлена недоработка, позволяющая подставить в данные символ возврата каретки через указание специально оформленного URL. Так как протокол манипулирует построчными данными, добавление возврата каретки может использоваться для разделения блоков данных и организации передачи пароля не на тот сервер. Возможность совершения атаки зависит от интерпретации символа возврата каретки в качестве разделителя строки в различных реализациях протокола "credential helper". Например, проблеме подвержен Git Credential Manager, написанный на C#/.NET.

Пользователям, не имеющим возможность обновить Git, рекомендуется воздержаться от обращения к непроверенным внешним репозиториям при помощи команды "git clone" с флагом "--recurse-submodules", а также исключить использование обработчиков учётных данных при клонировании публичных репозиториев. Помимо самого Git исправления для блокирования данных уязвимостей выпущены для GitHub Desktop (CVE-2025-23040), Git LFS (CVE-2024-53263) и Git Credential Manager (CVE-2024-50338).

  1. Главная ссылка к новости (https://lore.kernel.org/lkml/x...)
  2. OpenNews: Выпуск системы управления исходными текстами Git 2.48
  3. OpenNews: Две уязвимости в Git, способные привести к удалённому выполнению кода
  4. OpenNews: Уязвимости в Git, приводящие к утечке и перезаписи данных
  5. OpenNews: Уязвимости в Git, позволяющие перезаписать файлы или выполнить свой код
  6. OpenNews: Пять уязвимостей в Git, среди которых одна критическая и две опасные
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/62561-git
Ключевые слова: git
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (27) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.9, Аноним (9), 16:41, 15/01/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –4 +/
    В новости нет информации когда эта уязвимость появилась.

    Закладка?

     
     
  • 2.12, 12yoexpert (ok), 16:59, 15/01/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    man git blame
     
     
  • 3.15, Аноним (15), 17:46, 15/01/2025 [^] [^^] [^^^] [ответить]  
    		• –2 +/
    Сам не можешь посмотреть или это мыслепреступление?
     
     
  • 4.28, Да ну нахер (?), 19:28, 15/01/2025 [^] [^^] [^^^] [ответить]  
    		• +6 +/
    You Must Not Do Your Own Research.
     
     
  • 5.29, Аноним (29), 19:46, 15/01/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Ждём когда специально обученные люди выдадут нам правду в последней инстанции.
     
     
  • 6.36, Аноним (36), 21:51, 15/01/2025 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Давно пора.
     

  • 1.18, Аноним (18), 18:12, 15/01/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    > как обновиться через update-git-for-windows в рамках своей мажорной версии (например, с 2.47.1 до 2.47.2)? эксперты!

    просто вызываешь эту команду, он тебе предложит обновиться именно таким образом

     
  • 1.19, Аноним (19), 18:21, 15/01/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    >2.41.3, 2.42.4, 2.43.6, 2.44.3, 2.45.3, 2.46.3, v2.47.2 и 2.48.1

    А зачем столько? Кто объяснит, плиз.

     
     
  • 2.20, Аноним (20), 18:35, 15/01/2025 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    Почему всего лишь столько?

    Или эти уязвимости в 2.41 появились?

     
     
  • 3.21, Аноним (19), 18:36, 15/01/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Я про версионирование.
     
  • 2.23, Аноним (23), 18:40, 15/01/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Это типа ЛТС
     
  • 2.25, Аноним (25), 19:00, 15/01/2025 [^] [^^] [^^^] [ответить]  
    		• +4 +/
    Потому что в дистрах невозможно поставлять новый софт. Весь софт всегда завязан на общие библиотеки всей системы.  
     
     
  • 3.33, Аноним (33), 21:28, 15/01/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Возможно, и в нормальных дистрибутивах только он и поставляется. Ни в каких зависимостях гита не ломали совместимость последние лет 5, поэтому любая из перечисленных версий соберётся с любыми зависимостями. Просто есть уроды, которые думают что использование устаревшего софта от чего-то там защищает, вот для них это говно и поддерживается.
     
  • 2.26, Аноним (26), 19:02, 15/01/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    пользуйся факпаком
     

  • 1.27, Ivan_83 (ok), 19:17, 15/01/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Те пострадали мазахисты которые аутентифицируются не по SSH ключу по по паролю.
    Учитывая что они и так мазохисты то думаю новость им в радость.
     
     
  • 2.31, Аноним (31), 20:42, 15/01/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Так наоборот же, это ключники мазохисты. Этот ключ сгенерировать надо, куда-то там положить, настраивать, потом каждый год перегенерировать, постоянно вспоминая команды. С паролем же всё просто, введите пароль, вводишь пароль, доступ разрешен
     
     
  • 3.37, Аноним (37), 00:13, 16/01/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Если ты пароль никогда не меняешь, то ключи-то нафига ротировать.
     
  • 3.38, Ivan_83 (ok), 01:00, 16/01/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Ключ ssh генерируется один раз когда оно надо, команда сохраняется в текстовик с заметками.
    Каждый год-два-десять-сто лет ничего перегенерировать не нужно. Не путайте с TLS сертификатами.


    В остальном сразу видно что вы теоретег.
    Я как то работал в одной конторе где тимлид осилил поставить гит только так что там был http с авторизацией.
    Каждый раз когда дёргается гит приходилось вводить логин и пароль, это просто ппц.
    Что называется - чтоб вам так пожить.

     
     
  • 4.40, Аноним (40), 01:43, 16/01/2025 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    То ли дело ключи! Один раз при старте системы ввёл пароль, и дельше любая дрянь на компьютере может спокойно подключаться к репозиторию без ведома пользователя! Рай!
     
     
  • 5.41, Аноним (41), 03:34, 16/01/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Не любая, а запущенная от того же пользоватлея. Отдельный пользователь вам в помощь.
     
  • 5.44, Ivan_83 (ok), 13:07, 16/01/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Если бы у меня на компе что то завелось - утечка ссш ключей это последние чтобы бы меня волновало, а уж тем более какие то пуши куда то в гит.
     
  • 4.42, Аноним (42), 10:47, 16/01/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    > Каждый год-два-десять-сто лет ничего перегенерировать не нужно.

    Нужно. Во всех местах, где я работал, была обязательная политика устаревания ключей. Со срок устаревания год обычно.

    > Каждый раз когда дёргается гит приходилось вводить логин и пароль, это просто ппц.

    Ну так и норм, когда на свою тачку входишь, тоже каждый раз логин пароль воодишь же. Плюс сколько помню там оно запоминает же последние введённые креды, разве нет?

     
     
  • 5.45, Ivan_83 (ok), 14:30, 16/01/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    SSH ключи даже на гитхубе не устаревают.
    Где я щас работаю тоже отбитые безопасники рулят, в итоге каждый день куча времени тратится на бесполезные ритуалы аутентификации во всяком копротивном шлаке.


    На свою тачку я раз в месяц вхожу.
    Нет, не запоминает потому что я часто консольным гитом пользуюсь а не вендовом гите кнопки жмякаю.

     
     
  • 6.47, Аноним (47), 19:28, 16/01/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    А консольный гит не запоминает логин и пароль что ли? Видимо с консольным докером перепутал, тот запоминает пароль к registry
     
  • 3.39, Рщъ (?), 01:28, 16/01/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Пароль придётся вводить при каждом пуше. Уж проще один раз сделать ssh-copy-id
     
     
  • 4.43, Аноним (42), 10:58, 16/01/2025 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Ну так и пушишь разве по тыщу раз?
     
     
  • 5.46, Ivan_83 (ok), 14:32, 16/01/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Не при пуше а при взаимодействии с внешним гитом.
    Если это активный разработчик на запиле кода то с гитом на сервере ему на дню может случится пообщатся десятки и сотни раз.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2025 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру