Git, 2.45.1 sürümüyle istemcilerdeki beş güvenlik açığını ortadan kaldırıyor ve derinlemesine koruma mekanizmaları sunuyor. Tüm işletim sistemleri risk altındadır: Windows, macOS, Linux dağıtımları veya BSD'ler. Boşluklar depoların klonlanmasıyla ilgilidir; biri kritik, ikisi yüksek olarak sınıflandırılmıştır. Sonuç olarak git ekibi, hemen güncelleme yapılmasını öneriyor ve “hemen güncelleme yapamıyorsanız, lütfen depoları nereden kopyaladığınıza dikkat edin.”
Reklamcılık
Yakın zamanda depo hizmetlerine yönelik bir dizi saldırının bilinmesinin ardından git, hizmeti değil istemcileri etkileyen bir güvenlik güncellemesi yayınlıyor. Kullanıcılar hem bağımsız programları hem de geliştirme ortamlarındaki eklentileri güncellemelidir. Visual Studio otomatik olarak güncellenirken VS Code kullanıcılarının yeni git sürümünü terminale kendilerinin yüklemesi gerekir:
git update-git-for-windows
Ayrıntılı olarak düzeltilen güvenlik açıkları:
VS Code kullanıcıları git'i terminalde elle hızlı bir şekilde güncellemelidir.
(Resim: iX)
Yeni güvenlik konsepti: Derinlemesine Savunma
Git, belirli güvenlik açıklarını düzeltmenin yanı sıra, açıklananlara benzer tehditlere karşı yeni güvenlik mekanizmaları da sunuyor. Klonlama sırasında sembolik bağlantıların daha iyi kullanılması, git'in dosyaları yanlış yere yazmasını önlemelidir. Yetkisiz kodları durdurmak için kancalar artık daha yakından inceleniyor. Git şablonu dizini kanca yapılandırması artık kazara veya kötü niyetli değişikliklere karşı korunuyor. Ek olarak git artık .git/ dizinine sembolik bağlantılar konusunda da uyarıda bulunuyor. Özellikle şüpheli kullanıcılar git'in bu uyarıları hata olarak değerlendirdiğini iddia edebilir.
Git ekibinden bir not daha: Yeni derinlemesine savunma koruması, büyük dosya depolama depolarını klonlarken hataya neden oluyor. Anahtar yardımcı olur git lfs pull yeni klonda.
(DSÖ)
Haberin Sonu
Reklamcılık
Yakın zamanda depo hizmetlerine yönelik bir dizi saldırının bilinmesinin ardından git, hizmeti değil istemcileri etkileyen bir güvenlik güncellemesi yayınlıyor. Kullanıcılar hem bağımsız programları hem de geliştirme ortamlarındaki eklentileri güncellemelidir. Visual Studio otomatik olarak güncellenirken VS Code kullanıcılarının yeni git sürümünü terminale kendilerinin yüklemesi gerekir:
git update-git-for-windows
Ayrıntılı olarak düzeltilen güvenlik açıkları:
- CVE-2024-32002 (Kritik; Windows ve macOS): Alt modüllere sahip kötü amaçlı depolar, klonlama sırasında verileri ilgili çalışma dizini yerine .git/ klasörüne dökmek için git istemcilerini kullanabilir. Bu, manipüle edilmiş sembolik bağlantılar yoluyla elde edilir. Saldırgan, git çalışırken kancaları çalıştırabilir (komut dosyalarını otomatik olarak başlatır).
- CVE-2024-32004 (Yüksek; Çok Kullanıcılı): Bir saldırgan, yerel bir depoyu, klonlandığında kendi ayrıcalıklarıyla klonlayıcı üzerinde rastgele kod yürütebilen, nesnesi olmayan sözde kısmi bir klon olarak modelleyebilir.
- CVE-2024-32465 (yüksek; tüm yapılandırmalar): Zip dosyalarından depoların klonlanması, koruma önlemlerini atlayarak saldırganların güvenli olmayan kancalar eklemesine olanak tanır.
- CVE-2024-32020 (Düşük; Çok Kullanıcılı Makine): Güvenilmeyen kullanıcılar, aynı diskteki klonlanmış deponun nesne veritabanındaki sabit bağlantıları değiştirebilir.
- CVE-2024-32021 (Düşük; Çok Kullanıcılı): Yerel bir repoyu sembolik bağlantılarla klonlarken, saldırganlar nesneler/dizinde sabit bağlantılar oluşturmak için git'i kötüye kullanabilir. Saldırganlar bunu git'in ötesindeki dosya sistemine dosya yazmak için kullanır.
VS Code kullanıcıları git'i terminalde elle hızlı bir şekilde güncellemelidir.
(Resim: iX)
Yeni güvenlik konsepti: Derinlemesine Savunma
Git, belirli güvenlik açıklarını düzeltmenin yanı sıra, açıklananlara benzer tehditlere karşı yeni güvenlik mekanizmaları da sunuyor. Klonlama sırasında sembolik bağlantıların daha iyi kullanılması, git'in dosyaları yanlış yere yazmasını önlemelidir. Yetkisiz kodları durdurmak için kancalar artık daha yakından inceleniyor. Git şablonu dizini kanca yapılandırması artık kazara veya kötü niyetli değişikliklere karşı korunuyor. Ek olarak git artık .git/ dizinine sembolik bağlantılar konusunda da uyarıda bulunuyor. Özellikle şüpheli kullanıcılar git'in bu uyarıları hata olarak değerlendirdiğini iddia edebilir.
Git ekibinden bir not daha: Yeni derinlemesine savunma koruması, büyük dosya depolama depolarını klonlarken hataya neden oluyor. Anahtar yardımcı olur git lfs pull yeni klonda.
(DSÖ)
Haberin Sonu