Błąd bezpieczeństwa w oficjalnym kliencie Git dla systemów Windows i Mac może pozwolić na wykonywanie nieautoryzowanych poleceń w systemach użytkowników. Na szczęście łatka jest już dostępna i wszyscy użytkownicy muszą ją jak najszybciej zaktualizować, aby uniknąć możliwych ataków.
Ten ostatni błąd stanowi tak poważne zagrożenie, ponieważ daje dostęp do repozytoriów Git i dotyczy wszystkich wersji klienta Git, a także całego kompatybilnego oprogramowania. Należy zwrócić szczególną uwagę podczas klonowania lub uzyskiwania dostępu do repozytoriów Git, które są hostowane w podejrzanych lokalizacjach, ponieważ w tym miejscu może ukrywać się błąd bezpieczeństwa.
Dotyczy to systemów operacyjnych z systemami plików bez rozróżniania wielkości liter. Złośliwy kod działa, powodując, że Git nadpisuje własny plik .git/config, gdy system klonuje lub pobiera repozytorium.
„Luka dotyczy klientów kompatybilnych z Git i Git, którzy uzyskują dostęp do repozytoriów Git w systemie plików bez rozróżniania wielkości liter lub normalizacji wielkości liter. Atakujący może stworzyć złośliwe drzewo Git, które spowoduje, że Git nadpisze własne
.git/configplik podczas klonowania lub pobierania repozytorium, co prowadzi do wykonania dowolnego polecenia na komputerze klienta. Za pomocą tej luki można wykorzystać klientów Git działających w systemie OS X (HFS+) lub dowolnej wersji systemu Microsoft Windows (NTFS, FAT). Klienci Linuksa nie mają wpływu, jeśli działają w systemie plików z rozróżnianiem wielkości liter.”, informuje oficjalne oświadczenie.
Dobrą wiadomością jest to, że github.com jest bezpieczny, ponieważ administratorzy zawsze sprawdzają drzewa w kodzie źródłowym, gdy są dodawane. Co więcej, cała zawartość repozytorium została podwójnie sprawdzona w celu wyeliminowania wszelkich możliwych błędów, które mogły się w jakiś sposób wkraść. Należy jednak uważać na wątpliwe lokalizacje hostingowe, ponieważ weryfikacja bezpieczeństwa jest tam błędna.
Zakończyliśmy również automatyczne skanowanie wszystkich istniejących treści na
github.comw celu wyszukania złośliwej zawartości, która mogła zostać przesłana do naszej witryny przed wykryciem tej luki. Ta praca jest rozszerzeniem kontroli jakości danych, które zawsze przeprowadzaliśmy w repozytoriach przesyłanych na nasze serwery, aby chronić naszych użytkowników przed zniekształconymi lub złośliwymi danymi Git.
Zaktualizowane wersje GitHub są już dostępne do pobrania dla Okna i Prochowiec. Wszyscy użytkownicy są zachęcani do aktualizacji, aby zapewnić bezpieczeństwo swoich systemów.
PRZECZYTAJ TAKŻE: Windows XP jest teraz bardzo łatwym celem dla hakerów, aktualizacja systemu Windows 10 jest obowiązkowa
