Разработчики Git и различные компании, предоставляющие хостинг для Git-репозиториев, выпустили обновления для клиентов и серверов (Git v2.17.1, v2.13.7, v2.14.4, v2.15.2 и v2.16.4), исправляющие сразу две опасные уязвимости: CVE-2018-11235 и  CVE-2018-11233.

Наиболее серьезным из двух багов является CVE-2018-11235. Проблема связана с именами сабмодулей и рекурсивным клонированием репозиториев. Она позволяет злоумышленнику создать вредоносный репозиторий, содержащий специальный сабмодуль. Как только пользователь клонирует данный репозиторий, из-за вредоносного сабмодуля атакующий получит возможность выполнить произвольный код в пользовательской системе.

Баг был обнаружен Этьеном Сталмансом (Etienne Stalmans), однако подробнее всего об уязвимости рассказали специалисты Microsoft Visual Studio Team Services.

Вторая проблема, CVE-2018-11233, представляет меньшую опасность и описывается как баг в обработке путей при использовании файловой системы NTFS. Уязвимость позволяет извлекать из памяти содержимое, относящееся к процессу Git.

Теперь специалисты призывают пользователей обновить свои Git-клиенты. Эксперты Microsoft даже опубликовали на этот счет отдельные и подробные инструкции.

1 комментарий

  1. 0d8bc7

    06.06.2018 at 03:32

    Интересно, есть ли какие-нибудь возможности для юзера, не являющегося антивирусным аналитиком, узнать, клонировал ли он такой репозиторий?

Оставить мнение