Оновлення Git-клієнта для усунення вразливості - Блог ITVDN
ITVDN: курси програмування
Відеокурси з
програмування

    Обери свою IT спеціальність

    Підписка

    Обери свою IT спеціальність

    Підписка

      Оновлення Git-клієнта для усунення вразливості

      advertisement advertisement

      Введение

      Уязвимость очень тривиальна – злоумышленник создает Git-дерево, что приводит к тому, что Git перезаписывает свой собственный .git/config файл при клонировании или проверке репозитория. Затем вызывается config файл, чтобы выполнить любой вредоносный код.


      Конфигурационный файл может содержать измененные названия кода для команд Git и, следовательно, вредоносный файл конфигурации может повторно активировать команды Git для любых функций. Злоумышленник может выполнить, практически, любой код, который он хочет.

      Причина проблемы заключается в том, что считается нормальным использовать вид записи .Git/config или любой другой, отличный от стандартного. Он рассматривается как стандартная папка, которая отличается от .git/config, находящейся за пределами репозитория. Однако, OSX и Windows используют «case insensitive file systems» и, в результате, .Git/config приравнивается к .git/config и, скопировав его, перезаписывается исходный .git/config. Если вы работаете с Linux или Unix, то Git работает корректно без вмешательства.

      Схема

      В целом, риск не так уж велик, потому что любой, кто хочет воспользоваться дефектом, должен иметь права для создания репозиториев и уязвимость появляется при работе в публичном репрозитории.

      Решением проблемы является установка последних версий Git-клиента. Существует также проблема с остальными производителями программного обеспечения, которые используют библиотеки libgit2 и JGit.

      GitHub также советуют устанавливать последнюю версию клиента.

      Источник: http://www.i-programmer.info/news/149-security/8101-upgrade-git-client-to-avoid-vulnerability.html

      КОМЕНТАРІ ТА ОБГОВОРЕННЯ
      advertisement advertisement

      Купуй передплатуз доступом до всіх курсів та сервісів

      Бібліотека сучасних IT знань у зручному форматі

      Вибирай свій варіант підписки залежно від завдань, що стоять перед тобою. Але якщо потрібно пройти повне навчання з нуля до рівня фахівця, краще вибирати Базовий або Преміум. А для того, щоб вивчити 2-3 нові технології, або повторити знання, готуючись до співбесіди, підійде Пакет Стартовий.

      Стартовий
      • Усі відеокурси на 3 місяці
      • Тестування з 10 курсів
      • Перевірка 5 домашніх завдань
      • Консультація з тренером 30 хв
      59.99 $
      Придбати
      Базовий
      • Усі відеокурси на 6 місяців
      • Тестування з 16 курсів
      • Перевірка 10 домашніх завдань
      • Консультація з тренером 60 хв
      89.99 $
      Придбати
      Преміум
      • Усі відеокурси на 1 рік
      • Тестування з 24 курсів
      • Перевірка 20 домашніх завдань
      • Консультація з тренером 120 хв
      169.99 $
      Придбати
      Notification success
      Ми використовуємо cookie-файли, щоб зробити взаємодію з нашими веб-сайтами та послугами простою та значущою.