lokalnu git instalaciju

Redovno ažurirajte svoju lokalnu Git instalaciju

Ako kao developer radite u Git-u važno je da redovno ažurirate svoju lokalnu Git instalaciju. Tim pre što je otkriveno nekoliko sigurnosnih propusta u ovom popularnom softveru.

Najgori od dva propusta (CVE-2022-24765) potencijalno omogućava napadaču da izvrši određene komande. Najviše su u riziku developeri koji koriste Git za Windows ili Git na multi-user računarima. Kod multi-user računara, zlonamerni napadač može da kreira .git direktorijum na deljenoj lokaciji iznad žrtvinog tekućeg radnog direktorijuma. Na primer, u Windows-u, napadač može da kreira C:\.git\config, što bi rezultiralo time da sve git invokacije koje se dese van repozitorijuma, pročitaju njegove konfiguracione vrednosti.

Imajući u vidu da neke konfiguracione promenljive (kao recimo core.fsmonitor) iniciraju izvršavanje arbitrarnih komandi, to može da dovede do toga da one budu izvršene i tokom rada na deljenom računaru.

Developerima se savetuje da ažuriraju svoje sisteme na Git v2.35.2 da bi se zaštitili od potencijalnih napada. Developeri koji koriste Git na Linux-u ili macOS, su takođe pogođeni propustom pod nazivom CVE-2022-24765, doduše u manjoj meri. U svakom slučaju ažuriranje je svakako neophodno.

Druga ranjivost (CVE-2022-24767) je ograničena samo na Git za Windows uninstaller. Kao i kod prethodne ranjivosti, određeni nivo pristupa je pretpostavka za realizaciju potencijalnog napada.

Napadi se zasnivaju na postavljanju malicioznog .dll fajla na ciljanom sistemu.

Imajući u vidu da ova ranjivost predstavlja određeni rizik, korisnici se savetuju da ažuriraju svoju lokalnu Git instalaciju – Git za Windows v2.35.2.

Bez komentara

Оставите одговор

Ваша адреса е-поште неће бити објављена.