GitHub , iki kod yürütme güvenlik açığını gidermek için yerel istemcisinin güncellenmiş sürümlerinin yayınlandığını duyurdu . Microsoft’un sahip olduğu firma, etkilenen kullanıcılar için istismar riskini azaltmayı hedefliyor. CVE-2022-24765 olarak izlenen ilk kusur, doğrulanmamış kullanıcıların Windows sisteminde Git işlemlerinin havuz dışında yürütülebileceği C:\.git\config dizini oluşturabildiği çok kullanıcılı makinelerde çalışan kullanıcıları etkiliyor.
Güvenlik mühendisi Taylor Blau, “Bazı yapılandırma değişkenleri Git’in rastgele komutlar yürütmesine neden olduğundan, paylaşılan bir makinede çalışırken bir kod yürütme senaryosu kendini gösterebilir” diyor. Rapora göre, bir kullanıcının etkilenebileceği birkaç senaryo var:
- posh-git’i yükleyen kullanıcılar
- GIT_PS1_SHOWDIRTYSTATE kurulumunu yapan Git Bash kullanıcıları
- Visual Studio gibi IDE kullanıcıları
Öte yandan, CVE-2022-24767 , dinamik bağlantı kitaplığı (DLL) ele geçirilmesine karşı savunmasız olan Windows için Git Uninstaller’da bulunur, çünkü yüksek ayrıcalıklı SYSTEM hesabı TMP ve TEMP’ye işaret eden ayarları devralır. “C:\Windows\Temp.”
GitHub’ın bu güvenlik açıklarından etkilenmediğini belirtmek gerekir. Ancak, özellikle Windows için Git kullanıyorlarsa veya Git’i çok kullanıcılı bir makinede kullanıyorsanız, kullanıcılar bu güvenlik açıklarının farkında olmalı ve yerel Git yüklemelerini güncellemelidir. Git’in en son sürümü bu kusurlar için düzeltmeler içerir, bu nedenle kullanıcıların Git v2.35.2’ye yükseltmeleri şiddetle tavsiye edilir. Bu sürüm, üst düzey bir .git dizini aranırken davranışını değiştirmiştir ve dizin yolu mevcut kullanıcının sahipliğini değiştirdiğinde bozulmaktadır.
Kaynak: securitynewspaper.com