X41 ve GitLab’dan siber güvenlik araştırmacıları, Git dağıtılmış sürüm kontrol sisteminde üç yüksek önem dereceli güvenlik açığı keşfetti.
Araştırmacılar, kusurların, tehdit aktörlerinin yığın tabanlı arabellek taşması güvenlik açıklarından yararlanarak hedef uç noktalarda rasgele kod çalıştırmalarına izin vermiş olabileceğini söyledi. Üç kusurdan ikisinde zaten sıralanmış yamalar varken, üçüncüsü için bir geçici çözüm mevcut.
Yama uygulanan iki güvenlik açığı CVE-2022-41903 ve CVE-2022-23521 olarak izleniyor. Geliştiriciler (yeni sekmede açılır) cihazlarını korumak isteyen Git’i 2.30.7 sürümüne güncellemelidir. Üçüncüsü, CVE-2022-41953 olarak izlenir ve geçici çözüm, havuzları klonlamak için Git GUI yazılımını kullanmamaktır. BleepingComputer’a göre güvende kalmanın bir başka yolu da güvenilmeyen kaynaklardan klonlama yapmaktan tamamen kaçınmaktır.
Yamalar ve geçici çözümler
“Keşfedilen en ciddi sorun, bir saldırganın klonlama veya çekme işlemleri sırasında yığın tabanlı bir bellek bozulmasını tetiklemesine olanak tanır ve bu da kod yürütülmesine neden olabilir. Bir başka kritik sorun da, genellikle Git forges tarafından gerçekleştirilen bir arşiv işlemi sırasında kod yürütülmesine izin verir.” araştırmacılar dedim (yeni sekmede açılır) olayla ilgili açıklamalarında
“Ayrıca, hizmet reddi durumlarına, sınır dışı okumalara veya büyük girdilerde kötü bir şekilde ele alınan köşe vakalarına yol açabilecek çok sayıda tamsayı ile ilgili sorun belirlendi.”
Git, o zamandan beri birkaç ek sürüm yayınladı, bu nedenle güvenli tarafta olmak için Git’in en son sürümünü çalıştırdığınızdan emin olun – 2.39.1.
BleepingBilgisayar yamayı hemen uygulayamayanların güvenilmeyen depolarda “git arşivini” devre dışı bırakması veya güvenilmeyen depolarda komutu çalıştırmaktan kaçınması gerektiğini belirtiyor. Ayrıca, “git arşivi”, “git arka plan programı” aracılığıyla açığa çıkarsa, kullanıcılar güvenilmeyen depolarla çalışırken onu devre dışı bırakmalıdır. Bunun “git config –global daemon.upladArch false” komutuyla yapılabileceğini söyledi.
“Bir sürümü çalıştıran tüm kurulumların sorunlardan etkilenmesini şiddetle tavsiye ediyoruz. [..] en kısa sürede en son sürüme yükseltilir,” GitLab uyardı (yeni sekmede açılır).
Üzerinden: BleepingBilgisayar (yeni sekmede açılır)