Вредоносный репозиторий Git может позволить удаленно выполнить код

Разработчики Git выпустили патч, исправляющий опасную уязвимость в коде этой распределенной системы управлениям версиями. Вышедшее обновление Git 2.17.1 исправляет бреши, получившие идентификаторы CVE-2018-11233 и CVE-2018-11235.

Из этих двух уязвимостей самой опасной считается CVE-2018-11235, так как она может позволить злоумышленнику создать вредоносный репозиторий Git, содержащий специально сконструированный подмодуль.

Таким образом, каждый раз, когда пользователь клонирует этот репозиторий, злоумышленник может выполнить код в системе. Это происходит из того, как клиенты Git обрабатывают вредоносный подмодуль.

Патч Git 2.17.1 должен исправить эту проблему.

Однако устранение данного бага происходит еще и на уровне серверного компонента Git. Патч на стороне сервера позволяет распознавать репозитории, содержащие вредоносные подмодули, и блокировать их загрузку пользователями.

Такие сервисы, как GitHub и Visual Studio Team (Microsoft) уже применили свежий патч.

«Самая большая часть работы была проделана по части детектирования вредоносных подмодулей. А сам патч, по сути, довольно тривиален», — сказал Джефф Кинг, сотрудник GitHub. — «Я написал патчи для самой Git, остальные же работали над libgit2, JGit и VSTS».

Брешь CVE-2018-11235 обнаружил эксперт Этьен Сталманс, который сообщил о ней через программу поиска багов, организованную GitHub.

Эдвард Томсон, работающий над Visual Studio Team Services, предоставил дополнительные инструкции, которые помогут понять, запускают ли пользователи уязвимые клиенты Git.