Bezpečnostní díra na GitHubu

Zpravodajství Programování Bezpečnostní díra na GitHubu

Bezpečnostní chyba se týká Git klienta a Git-kompatabilních klientů, které pracují na systémech, jejichž souborový systém nerozlišuje velká a malá písmena (tedy například Windows). Chyba spočívá v tom, že útočník může podstrčit infikovanou Git větev, která při klonování přepíše konfigurační soubor .git/config. Následně pak může dojít ke spuštění škodlivého kódu umístěného v podstrčeném konfiguračním souboru. Zranitelní jsou klienti, kteří běží na OS X nebo Windows. Git klientů nainstalovaných na systému Linux se tato chyba netýká.

Přičina problému je v tom, že systém umožňuje mít soubor s název .Git/config či jinou podobu velkých písmen v názvu souboru .git/config jako součást repositáře a nakládá s ním jako se standardním souborem, protože ten správný konfigurační soubor .git/config leží vně repositáře. Naneštěstí OS X a Windows používá souborový systém, který nerozlišuje velká a malá písmena, takže při kopírování přepíše původní soubor novým, infikovaným.

Na druhou stranu, riziko není zas tak hrozivé, protože, útočník by musel nejprve na Git nahrát práva pro vytvoření škodlivého úložiště a vy byste museli pracovat s tímto veřejným úložištěm.

Nová verze Git klienta tuto chybu odstraňuje. GitHub také zahájil proces vyhledávání potencionálně infikovaných repositářů.

Další informace na GihHub.


 

  Aktivity (1)

Zprávu pro vás napsala Nikola Sterziková (PaNika) 23.12.2014 11:34
Avatar
Autorka se věnuje programování webových aplikací v C# a tvorbě MSSQL databází.

Miniatura
Všechny články v sekci
Zprávy ze světa programování

 

 

Komentáře
Zobrazit starší komentáře (9)

Avatar
Michal Žůrek (misaz):

90% uživatelů PC si zvyklo žít bez snapshotu, žádná hrůza to není. To jestli je filesystem case-sensiteve nebo není podle mě vůbec nic nemění na tom, že si to vývojáři mají pohlídat.

To že něco přepíše config by až tak nevadilo, horší je spíše to, že se z toho CONFIGU dá něco spustit. CONFIG má být config, žádné exe.

Odpovědět  +1 24.12.2014 15:17
Nesnáším {}, proto se jim vyhýbám.
Avatar
Radim Sückr
Redaktor
Avatar
Radim Sückr:

Dobrá, tenhle článek není až taková bomba, ale co se tu začaly objevovat zprávičky, dost často jsou to titulky alá Blesk... Tenhle je ale tedy minimálně špatně. Taky to ale může být překlep, protože se nezdá, že by autorka nevěděla, o čem píše. :)

Jen jsem si prostě povzdechnul.

Editováno 24.12.2014 15:19
 
Odpovědět 24.12.2014 15:18
Avatar
Odpovídá na Radim Sückr
Michal Žůrek (misaz):

a co bys doplnil? Autorka si dala tu práci a dokonce napsala o co za chybu se jedná (že je způsobena case-nesensiteve). To se třeba na zive.cz moc často nestává.

Odpovědět  +1 24.12.2014 15:20
Nesnáším {}, proto se jim vyhýbám.
Avatar
Radim Sückr
Redaktor
Avatar
 
Odpovědět 24.12.2014 15:22
Avatar
Odpovídá na Radim Sückr
Michal Žůrek (misaz):

jak bys ho napsal ty? Podle mě vystihuje to o čem zpráva je.

Odpovědět  ±0 24.12.2014 15:23
Nesnáším {}, proto se jim vyhýbám.
Avatar
mkub
Redaktor
Avatar
Odpovídá na Michal Žůrek (misaz)
mkub:

a NTFS toho nevie ovela viac...

a co sa tyka toho configu, takak sa nemylim, ma nastaveny priznak +x a v nom sa odkazuje aj na web a myslim, ze prave tu moze byt ta popisana chyba

struktura je takato:

[core]
        repositoryformatversion = 0
        filemode = true
        bare = false
        logallrefupdates = true
[remote "origin"]
        url = https://github.com/...
        fetch = +refs/heads/*:refs/remotes/origin/*
[branch "master"]
        remote = origin
        merge = refs/heads/master
config (END)

kde v sekcii [remote] moze byt aj odkaz na inu stranku a pri noncase-sensitivesystemoch dochadza k jeho prepisaniu upravenym configom, prave preto je tato chyba zavazna pri tychto systemoch

 
Odpovědět 24.12.2014 16:41
Avatar
mkub
Redaktor
Avatar
mkub:

vedel by som si predstavit take riesenie tejto chyby, ze config by bol iba na ukladanie konfiguracnych nastaveni a github pri uploade este kontroloval informacie, ze ci nevedu na podvrhnutu stranku obsahujucou viry

 
Odpovědět 24.12.2014 17:04
Avatar
Posix
Člen
Avatar
Posix:

Mohli by už konečně sjednotit to rozlišování velikosti písmen, stejně tak CRLF a LF a podobné věci. Dělá to akorát problémy :@
Nezajímá mě, že by to byla spousta práce. Ať si najmou partu indů a do rána to mají :D

Odpovědět 24.12.2014 20:38
Proč to dělat jednoduše, když to jde složitě.
Avatar
Filip Šohajek
Redaktor
Avatar
Odpovídá na Posix
Filip Šohajek:

<lessfunnysarcasm>A víš co? Já bych chtěl sjednotit světový mír, měnu a zákony, a z celé planty udělat jednu zemi. Nezajímá mě, že by to byla spousta práce. Si najmu partu indů a do rána to mám.</lessfun­nysarcasm>

Editováno 24.12.2014 20:45
 
Odpovědět  +1 24.12.2014 20:44
Avatar
mkub
Redaktor
Avatar
Odpovídá na Posix
mkub:

a ked sme pri zjednocovani vlastnosti, tak si zabudol aj na oddelovanie adresarov a podadresarov v ceste a aj na to, ze v jednom systeme sa nove disky pripajaju do adresaroveho stromu zacinajuceho Rootom a v inom systeme sa disky a diskove oddiely oznacuju pismenkami a toho je este ovela viac na zjednocovani :D

ale na tieto odlisnosti by mali vyvojari systemov a aplikacii pamatat

 
Odpovědět 25.12.2014 7:12
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 10 zpráv z 19. Zobrazit vše