В Git исправлены уязвимости, позволяющие удаленное выполнение кода

Git Logo

В Git и сервисах, предоставляющих услуги репозитория, обнаружены две уязвимости, позволяющие удаленно исполнять код на пользовательских устройствах. Разработчики уже устранили бреши, находящиеся в коде системы контроля версий, в обновлении Git 2.17.1. Специалисты рекомендуют не откладывать установку новой версии.

Подробнее об уязвимостях

Оба бага в защите используют одинаковую процедуру заражения: для выполнения удаленного кода жертва должна скопировать себе зараженный репозиторий.

Первая уязвимость CVE-2018-11235, найденная Этьеном Стальмансом (Etienne Stalmans), позволяет злоумышленнику совершить атаку подстановки папки из-за ошибки при валидации имен. Чтобы обмануть файловую систему и выполнить код, нужно вставить ../ перед именем папки.

Вторая брешь CVE-2018-11233 эксплуатирует способ обработки путей к файлам в NTFS-системах. Злоумышленник, воспользовавшийся этой уязвимостью, получает доступ к памяти.

А как же серверная сторона?

Разработчики также выпустили исправление для серверной части системы контроля версий. Обновление позволяет сервисам, предоставляющим услуги Git, обнаруживать репозитории с вредоносным кодом и блокировать возможность загрузки.

Патчи с исправлениями уже развернуты в GitHub и Visual Studio Team Services. Они защищают сервисы от возможных атак.

Хостинги системы контроля версий заботятся о безопасности репозиториев пользователей. В начале мая 2018 года администрация GitHub очистила сервис от 450 тысяч уязвимостей, связанных с устаревшими библиотеками.

Источник: Bleeping Computer

Ещё интересное для вас:
Тест: чьё это рабочее место? Угадываем айтишников по их столам
Тест: что вы знаете о работе мозга?
Тест: какой язык программирования вам стоит выбрать для изучения?

Вакансии в тему:

Tooligram
Разработчик Node.js / Vue.js
Разработчик Node.js / Vue.js
Tooligram, удаленно, до 150 000 ₽ (до налогов)
Dropwow
PHP-разработчик
PHP-разработчик
Dropwow, Москва, до 130 000 ₽
CallKeeper
JavaScript-разработчик
JavaScript-разработчик
CallKeeper, Москва, от 100 000 до 150 000 ₽
«Сбербанк-Технологии»
Java-программист
Java-программист
Сбербанк-Технологии, Рязань