GitHub masaüstünde ve başarılı bir şekilde sömürülürse, bir saldırganın bir kullanıcının GIT kimlik bilgilerine yetkisiz erişim elde etmesine izin verebilecek diğer Git ile ilgili projelerde birden fazla güvenlik açığı açıklanmıştır.
“Git, kimlik bilgilerini almak için GIT Kimlik Bilgisi Protokolü adlı bir protokol uygular. kimlik bilgisi“Kusurları keşfeden GMO Flatt Güvenlik Araştırmacısı RY0TAK, söz konusu Pazar günü yayınlanan bir analizde. Diyerek şöyle devam etti: “Mesajların uygunsuz ele alınması nedeniyle, birçok proje kimlik bilgisi sızıntısına çeşitli şekillerde savunmasızdı.”
Belirlenen güvenlik açıklarının listesi aşağıdaki gibidir –
- CVE-2025-23040 (CVSS Puanı: 6.6) – Kötü niyetli olarak hazırlanmış uzak URL’ler GitHub masaüstünde kimlik bilgisi sızıntılarına yol açabilir
- CVE-2024-50338 (CVSS Puanı: 7.4) – Uzak URL’deki Taşıma -Geri Karakter, kötü amaçlı deponun GIT kimlik yöneticisinde kimlik bilgilerini sızdırmasına izin verir
- CVE-2024-53263 (CVSS Puanı: 8.5) – GIT LFS, hazırlanmış HTTP URL’leri aracılığıyla kimlik bilgilerinin alınmasına izin verir
- CVE-2024-53858 (CVSS Puanı: 6.5) – GitHub CLI’de özyinelemeli depo klonlama, kimlik doğrulama jetonlarını Github olmayan alt modül ana bilgisayarlarına sızdırabilir
Kimlik bilgisi yardımcısı, tarafından ayrılan kimlik bilgilerini içeren bir mesaj döndürecek şekilde tasarlanmıştır. yeni hat Kontrol karakteri (” n”), araştırma GitHub masaüstünün, karakterin hazırlanmış bir URL’ye enjekte edilmesinin kimlik bilgilerini saldırgan kontrollü bir ana bilgisayara sızdırabileceği bir taşıma dönüşü (” r”) kaçakçılığına duyarlı olduğunu buldu.
Github, “Kötü niyetli bir şekilde hazırlanmış bir URL kullanarak, Github masaüstü tarafından Github masaüstü tarafından yanlış yorumlanmasına neden olmak mümkündür, böylece Git’in şu anda iletişim kurduğu ana bilgisayardan farklı bir ana bilgisayar için kimlik bilgileri gönderecek,” dedi Github. bir danışmanlık içinde.
Benzer bir zayıflık, GIT kimlik yöneticisi NuGet paketinde de kimlik bilgilerinin ilgisiz bir ana bilgisayara maruz kalmasına izin vererek tanımlanmıştır. GIT LFS, benzer şekilde, herhangi bir gömülü kontrol karakterini kontrol etmediği bulunmuştur, bu da hazırlanmış HTTP URL’leri aracılığıyla bir Taşıma Dönüş Hattı Besleme (CRLF) enjeksiyonu ile sonuçlanmıştır.
Öte yandan, GitHub CLI’yi etkileyen güvenlik açığı, erişim belirtecinin GitHub dışındaki ana bilgisayarlara gönderilecek şekilde yapılandırıldığı gerçeğinden yararlanır.[.]com ve ghe[.]com Çevre değişkenleri github_enterprise_token, gh_enterprise_token ve github_token ayarlandığı ve kod değerleri ikincisi durumunda “true” olarak ayarlandığı sürece.
RY0TAK, “Her iki işletme ile ilgili değişken de yaygın olmasa da, GitHub kod alanlarında çalışırken her zaman true olarak ayarlanır.” Dedi. Diyerek şöyle devam etti: “Bu nedenle, GitHub CLI kullanarak GitHub kod alanlarında kötü niyetli bir depoyu klonlamak, erişim belirtecini her zaman saldırganın ana bilgisayarlarına sızdırır.”
Yukarıda belirtilen kusurların başarılı bir şekilde kullanılması, ayrıcalıklı kaynaklara erişmek için sızdırılmış kimlik doğrulama jetonlarını kullanarak kötü niyetli bir üçüncü tarafa yol açabilir.
Açıklamalara yanıt olarak, taşıma dönüş kaçakçılığından kaynaklanan kimlik bilgisi sızıntısı, GIT projesi tarafından bağımsız bir güvenlik açığı (CVE-2024-52006CVSS puanı: 2.1) ve Sürüm V2.48.1.
Github yazılım mühendisi Taylor Blau, “Bu güvenlik açığı CVE-20120-5260 ile ilgilidir, ancak tek taşıma dönüş karakterlerinin bazı kimlik bilgisi yardımcı uygulamaları tarafından Newlines olarak yorumlandığı davranışlara güvenir.” söz konusu CVE-2024-52006 hakkında bir yazıda.
En son sürüm de yamalar CVE-2024-50349 (CVSS puanı: 2.1), kullanıcıları keyfi sitelere kimlik bilgilerini sağlamak için kandırmak için kaçış dizileri içeren URL’ler üretme konusunda bir düşman tarafından kullanılabilir.
Kullanıcıların bu güvenlik açıklarına karşı korumak için en son sürüme güncellemeleri önerilir. Hemen yama bir seçenek değilse, hatalarla ilişkili risk, güvensiz depolara karşı-recurse-submodülleri ile git klonunu çalıştırmaktan kaçınarak hafifletilebilir. Ayrıca, yalnızca kamuya açık depoları klonlayarak kimlik bilgisi yardımcısını kullanmaması önerilir.
