Уязвимости в Git позволяют удалённо выполнять код
Пользователям системы контроля версий Git рекомендуют обновить клиентские приложения из-за двух уязвимостей, которые серьёзно нарушают безопасность при работе с сервисом, сообщает The Next Web. Злоумышленники могут выполнять код на компьютерах жертв, если последние копируют себе содержимое заражённого репозитория.
Первый баг с CVE-номером CVE-2018-11235 обнаружил исследователь Этьен Стальманс. Из-за ошибки при валидации имён она позволяет злоумышленнику совершить стандартную атаку подстановки папки: добавив символ «../» перед именем, можно обмануть файловую систему и выполнить нужный код.
Вторая проблема, CVE-2018-11233, использует способ обработки файловых путей в NTFS-системах в Git. Эксплуатация этого бага позволяет хакеру получить доступ к содержимому памяти.
Уязвимостям подвержены пользователи всех платформ, и они были исправлены в версии Git 2.13.7 и выше. Пользователи Linux-дистрибутива Debian также рекомендуют обновить систему, чтобы защитить себя от возможных атак.