IT rekvalifikace s garancí práce. Seniorní programátoři vydělávají až 160 000 Kč/měsíc a rekvalifikace je prvním krokem. Zjisti, jak na to!
Hledáme nové posily do ITnetwork týmu. Podívej se na volné pozice a přidej se do nejagilnější firmy na trhu - Více informací.

Bezpečnostní díra na GitHubu

Zprávy ze světa programování

Bezpečnostní chyba se týká Git klienta a Git-kompatabilních klientů, které pracují na systémech, jejichž souborový systém nerozlišuje velká a malá písmena (tedy například Windows). Chyba spočívá v tom, že útočník může podstrčit infikovanou Git větev, která při klonování přepíše konfigurační soubor .git/config. Následně pak může dojít ke spuštění škodlivého kódu umístěného v podstrčeném konfiguračním souboru. Zranitelní jsou klienti, kteří běží na OS X nebo Windows. Git klientů nainstalovaných na systému Linux se tato chyba netýká.

Přičina problému je v tom, že systém umožňuje mít soubor s název .Git/config či jinou podobu velkých písmen v názvu souboru .git/config jako součást repositáře a nakládá s ním jako se standardním souborem, protože ten správný konfigurační soubor .git/config leží vně repositáře. Naneštěstí OS X a Windows používá souborový systém, který nerozlišuje velká a malá písmena, takže při kopírování přepíše původní soubor novým, infikovaným.

Na druhou stranu, riziko není zas tak hrozivé, protože, útočník by musel nejprve na Git nahrát práva pro vytvoření škodlivého úložiště a vy byste museli pracovat s tímto veřejným úložištěm.

Nová verze Git klienta tuto chybu odstraňuje. GitHub také zahájil proces vyhledávání potencionálně infikovaných repositářů.

Další informace na GihHub.


 

Všechny články v sekci
Zprávy ze světa programování
Článek pro vás napsala Nikola Sterziková (PaNika) 23.12.2014 11:34
Avatar
Autorka se věnuje programování webových aplikací v C# a tvorbě MSSQL databází.
Aktivity