Bezpečnostní díra na GitHubu
Bezpečnostní chyba se týká Git klienta a Git-kompatabilních klientů, které pracují na systémech, jejichž souborový systém nerozlišuje velká a malá písmena (tedy například Windows). Chyba spočívá v tom, že útočník může podstrčit infikovanou Git větev, která při klonování přepíše konfigurační soubor .git/config. Následně pak může dojít ke spuštění škodlivého kódu umístěného v podstrčeném konfiguračním souboru. Zranitelní jsou klienti, kteří běží na OS X nebo Windows. Git klientů nainstalovaných na systému Linux se tato chyba netýká.
Přičina problému je v tom, že systém umožňuje mít soubor s název .Git/config či jinou podobu velkých písmen v názvu souboru .git/config jako součást repositáře a nakládá s ním jako se standardním souborem, protože ten správný konfigurační soubor .git/config leží vně repositáře. Naneštěstí OS X a Windows používá souborový systém, který nerozlišuje velká a malá písmena, takže při kopírování přepíše původní soubor novým, infikovaným.
Na druhou stranu, riziko není zas tak hrozivé, protože, útočník by musel nejprve na Git nahrát práva pro vytvoření škodlivého úložiště a vy byste museli pracovat s tímto veřejným úložištěm.
Nová verze Git klienta tuto chybu odstraňuje. GitHub také zahájil proces vyhledávání potencionálně infikovaných repositářů.
Další informace na GihHub.
