Разработчики Git Project устранили критическую брешь, которая позволяла выполнять сторонний код на компьютере жертвы. Уязвимость под индексом CVE‑2018‑17456 была обнаружена в интерфейсе командной строки Git, клиенте для персональных компьютеров Git Desktop и текстовом редакторе Atom.

Пакет программ от Git Project помогает разработчикам управлять версиями своих продуктов, создавать патчи и эффективно взаимодействовать внутри проектных команд. Это одно из самых популярных решений подобного рода в мире — оно поддерживает множество ОС: macOS, Windows, Linux, Android, Solaris и другие, а также различные языки программирования, в том числе Swift компании Apple. Разработчики по всему миру используют продукт в opensource-проектах.

Как выяснили эксперты, некорректная работа одной из функций Git позволяет злоумышленнику выполнить произвольный скрипт на компьютере разработчика. Вредоносную команду необходимо внедрить в файл .gitmodules, который устанавливает соответствие между URL проекта и локальным подкаталогом, куда загружаются подмодули Git.

Проблема возникла из-за того, что программа не проверяет корректность поля URL. Если его значение начинается с дефиса, процесс git clone, отвечающий за копирование файлов проекта при создании новой версии, воспринимает его как опцию. В отсутствие какой-либо проверки преступник получает возможность запустить свою операцию в системе.

Разработчики устранили брешь в Git v2.19.1& (бэкпорт v2.14.5, v2.15.3, v2.16.5, v2.17.2 и v2.18.1), GitHub Desktop 1.4.2, Github Desktop 1.4.3-beta0, Atom 1.31.2 и Atom 1.32.0-beta3.

Это уже вторая подобная уязвимость Git — предыдущая была описана в 2017 году под номером CVE-2017-1000117. Она также позволяла использовать парсинг данных через файл .gitmodules, чтобы провести инъекцию стороннего кода.

А в июне 2018 года разработчики Git Project сообщили об устранении двух серьезных брешей, которые позволяли перехватывать ценные данные и внедрять стороннее ПО в программные продукты.

Категории: Главное, Уязвимости