Обновление Git с устранением уязвимостей

15.01.2025 14:31

Опубликованы корректирующие выпуски распределённой системы управления исходным кодом Git 2.41.3, 2.42.4, 2.43.6, 2.44.3, 2.45.3, 2.46.3, v2.47.2 и 2.48.1, в которых устранены две уязвимости:

CVE-2024-50349 - возможность подмены информации в интерактивном запросе пароля к репозитирию. Проблема вызвана отсутствием должной проверки имени хоста, в котором допускалось кодирование символов в формате %xx (URL Encoding). Атакующий мог использовать процентное кодирование для добавления в имя хоста escape-последовательностей, манипулирующих выводом на терминал.
Таким способом, можно заменить текст приглашения аутентификации и создать у пользователя ощущение обращения к другому репозиторию, чтобы при обращении к репозиторию атакующего пользователь ввёл логин и пароль от другого хоста. Атака может быть совершена при выполнении рекурсивного клонирования субмодулей командой "git clone --recurse-submodules", при котором один из субмодулей может запросить пароль от другого хоста, но ввод будет отправлен на хост с репозиторием атакующего.
CVE-2024-52006 - в реализации протокола "credential helper", применяемого для передачи учётных данных при обращении к репозиториям c ограниченным доступом, выявлена недоработка, позволяющая подставить в данные символ возврата каретки через указание специально оформленного URL. Так как протокол манипулирует построчными данными, добавление возврата каретки может использоваться для разделения блоков данных и организации передачи пароля не на тот сервер. Возможность совершения атаки зависит от интерпретации символа возврата каретки в качестве разделителя строки в различных реализациях протокола "credential helper". Например, проблеме подвержен Git Credential Manager, написанный на C#/.NET.

Пользователям, не имеющим возможность обновить Git, рекомендуется воздержаться от обращения к непроверенным внешним репозиториям при помощи команды "git clone" с флагом "--recurse-submodules", а также исключить использование обработчиков учётных данных при клонировании публичных репозиториев. Помимо самого Git исправления для блокирования данных уязвимостей выпущены для GitHub Desktop (CVE-2025-23040), Git LFS (CVE-2024-53263) и Git Credential Manager (CVE-2024-50338).

исправить +1 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/62561-git

Ключевые слова: git

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (18)

1.9, Аноним (9), 16:41, 15/01/2025 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
В новости нет информации когда эта уязвимость появилась. Закладка?

2.12, 12yoexpert (ok), 16:59, 15/01/2025 [^] [^^] [^^^] [ответить]	–1 +/–
man git blame

3.15, Аноним (15), 17:46, 15/01/2025 [^] [^^] [^^^] [ответить]	+1 +/–
Сам не можешь посмотреть или это мыслепреступление?

4.28, Да ну нахер (?), 19:28, 15/01/2025 [^] [^^] [^^^] [ответить]	+2 +/–
You Must Not Do Your Own Research.

5.29, Аноним (29), 19:46, 15/01/2025 [^] [^^] [^^^] [ответить]	+/–
Ждём когда специально обученные люди выдадут нам правду в последней инстанции.

1.18, Аноним (18), 18:12, 15/01/2025 [ответить] [﹢﹢﹢] [ · · · ]

+1 +/–

> как обновиться через update-git-for-windows в рамках своей мажорной версии (например, с 2.47.1 до 2.47.2)? эксперты!

просто вызываешь эту команду, он тебе предложит обновиться именно таким образом

1.19, Аноним (19), 18:21, 15/01/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>2.41.3, 2.42.4, 2.43.6, 2.44.3, 2.45.3, 2.46.3, v2.47.2 и 2.48.1 А зачем столько? Кто объяснит, плиз.

2.20, Аноним (20), 18:35, 15/01/2025 [^] [^^] [^^^] [ответить]	+1 +/–
Почему всего лишь столько? Или эти уязвимости в 2.41 появились?

3.21, Аноним (19), 18:36, 15/01/2025 [^] [^^] [^^^] [ответить]	+/–
Я про версионирование.

2.23, Аноним (23), 18:40, 15/01/2025 [^] [^^] [^^^] [ответить]	+/–
Это типа ЛТС

2.25, Аноним (25), 19:00, 15/01/2025 [^] [^^] [^^^] [ответить]	+2 +/–
Потому что в дистрах невозможно поставлять новый софт. Весь софт всегда завязан на общие библиотеки всей системы.

3.33, Аноним (33), 21:28, 15/01/2025 Скрыто ботом-модератором [к модератору]	+/–

2.26, Аноним (26), 19:02, 15/01/2025 [^] [^^] [^^^] [ответить]	+1 +/–
пользуйся факпаком

2.34, Аноним (33), 21:29, 15/01/2025 Скрыто ботом-модератором [к модератору]	+/–

....ответы скрыты (7)

1.27, Ivan_83 (ok), 19:17, 15/01/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Те пострадали мазахисты которые аутентифицируются не по SSH ключу по по паролю. Учитывая что они и так мазохисты то думаю новость им в радость.

2.30, Аноним (29), 19:47, 15/01/2025 [^] [^^] [^^^] [ответить]	+/–
Ключ в сладость, пароль в радость.

2.31, Аноним (31), 20:42, 15/01/2025 [^] [^^] [^^^] [ответить]	+/–
Так наоборот же, это ключники мазохисты. Этот ключ сгенерировать надо, куда-то там положить, настраивать, потом каждый год перегенерировать, постоянно вспоминая команды. С паролем же всё просто, введите пароль, вводишь пароль, доступ разрешен

3.32, Аноним (33), 21:26, 15/01/2025 [^] [^^] [^^^] [ответить]

+/–

Ты дурачок? Ключ генерируется один раз при первом любом использовании ssh для любых целей, т.е. он у тебя уже сгенерирован если ты куда-то ходил по ssh. Перегенерировать его не нужно, пока сам не захочешь.

> С паролем же всё просто, введите пароль, вводишь пароль, доступ разрешен

Да, если ты не пользуешься ssh и гитом. А если ты ходишь по хостам и пушишь в репозитории сотню раз в день, конечно же никакие пароли использоваться не могут.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: