The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Обновление Git с устранением уязвимостей

15.01.2025 14:31

Опубликованы корректирующие выпуски распределённой системы управления исходным кодом Git 2.41.3, 2.42.4, 2.43.6, 2.44.3, 2.45.3, 2.46.3, v2.47.2 и 2.48.1, в которых устранены две уязвимости:

  • CVE-2024-50349 - возможность подмены информации в интерактивном запросе пароля к репозитирию. Проблема вызвана отсутствием должной проверки имени хоста, в котором допускалось кодирование символов в формате %xx (URL Encoding). Атакующий мог использовать процентное кодирование для добавления в имя хоста escape-последовательностей, манипулирующих выводом на терминал.

    Таким способом, можно заменить текст приглашения аутентификации и создать у пользователя ощущение обращения к другому репозиторию, чтобы при обращении к репозиторию атакующего пользователь ввёл логин и пароль от другого хоста. Атака может быть совершена при выполнении рекурсивного клонирования субмодулей командой "git clone --recurse-submodules", при котором один из субмодулей может запросить пароль от другого хоста, но ввод будет отправлен на хост с репозиторием атакующего.

  • CVE-2024-52006 - в реализации протокола "credential helper", применяемого для передачи учётных данных при обращении к репозиториям c ограниченным доступом, выявлена недоработка, позволяющая подставить в данные символ возврата каретки через указание специально оформленного URL. Так как протокол манипулирует построчными данными, добавление возврата каретки может использоваться для разделения блоков данных и организации передачи пароля не на тот сервер. Возможность совершения атаки зависит от интерпретации символа возврата каретки в качестве разделителя строки в различных реализациях протокола "credential helper". Например, проблеме подвержен Git Credential Manager, написанный на C#/.NET.

Пользователям, не имеющим возможность обновить Git, рекомендуется воздержаться от обращения к непроверенным внешним репозиториям при помощи команды "git clone" с флагом "--recurse-submodules", а также исключить использование обработчиков учётных данных при клонировании публичных репозиториев. Помимо самого Git исправления для блокирования данных уязвимостей выпущены для GitHub Desktop (CVE-2025-23040), Git LFS (CVE-2024-53263) и Git Credential Manager (CVE-2024-50338).

  1. Главная ссылка к новости (https://lore.kernel.org/lkml/x...)
  2. OpenNews: Выпуск системы управления исходными текстами Git 2.48
  3. OpenNews: Две уязвимости в Git, способные привести к удалённому выполнению кода
  4. OpenNews: Уязвимости в Git, приводящие к утечке и перезаписи данных
  5. OpenNews: Уязвимости в Git, позволяющие перезаписать файлы или выполнить свой код
  6. OpenNews: Пять уязвимостей в Git, среди которых одна критическая и две опасные
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/62561-git
Ключевые слова: git
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (14) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.9, Аноним (9), 16:41, 15/01/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –2 +/
    В новости нет информации когда эта уязвимость появилась.

    Закладка?

     
     
  • 2.12, 12yoexpert (ok), 16:59, 15/01/2025 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    man git blame
     
     
  • 3.15, Аноним (15), 17:46, 15/01/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Сам не можешь посмотреть или это мыслепреступление?
     

  • 1.16, Аноним (15), 17:47, 15/01/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –3 +/
    Гит дыряв бай дизайн уже потому что его придумал педалькин.
     
     
  • 2.17, Аноним (-), 17:55, 15/01/2025 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    > Гит дыряв бай дизайн уже потому что его придумал педалькин.

    Надеюсь ты это написал с винды?
    Ну или хотя бы с мак-оси? (слышал, что ее любят всякие болтливые 321ы)

     
  • 2.22, Аноним (22), 18:39, 15/01/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    «Педалькин» это новый мем. Английская версия будет?
     
     
  • 3.24, Аноним (24), 18:57, 15/01/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Pedal maker
     

  • 1.18, Аноним (18), 18:12, 15/01/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    > как обновиться через update-git-for-windows в рамках своей мажорной версии (например, с 2.47.1 до 2.47.2)? эксперты!

    просто вызываешь эту команду, он тебе предложит обновиться именно таким образом

     
  • 1.19, Аноним (19), 18:21, 15/01/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    >2.41.3, 2.42.4, 2.43.6, 2.44.3, 2.45.3, 2.46.3, v2.47.2 и 2.48.1

    А зачем столько? Кто объяснит, плиз.

     
     
  • 2.20, Аноним (20), 18:35, 15/01/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Почему всего лишь столько?

    Или эти уязвимости в 2.41 появились?

     
     
  • 3.21, Аноним (19), 18:36, 15/01/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Я про версионирование.
     
  • 2.23, Аноним (22), 18:40, 15/01/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Это типа ЛТС
     
  • 2.25, Аноним (24), 19:00, 15/01/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Потому что в дистрах невозможно поставлять новый софт. Весь софт всегда завязан на общие библиотеки всей системы.  
     
  • 2.26, Аноним (26), 19:02, 15/01/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    пользуйся факпаком
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2025 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру