Java týden Java týden
Pouze tento týden sleva až 80 % na celý Java e-learning!
Brno? Vypsali jsme pro vás nové termíny školení OOP v Brně!

Bezpečnostní díra na GitHubu

Unicorn College Tento obsah je dostupný zdarma v rámci projektu IT lidem.
Vydávání, hosting a aktualizace umožňují jeho sponzoři.

Bezpečnostní chyba se týká Git klienta a Git-kompatabilních klientů, které pracují na systémech, jejichž souborový systém nerozlišuje velká a malá písmena (tedy například Windows). Chyba spočívá v tom, že útočník může podstrčit infikovanou Git větev, která při klonování přepíše konfigurační soubor .git/config. Následně pak může dojít ke spuštění škodlivého kódu umístěného v podstrčeném konfiguračním souboru. Zranitelní jsou klienti, kteří běží na OS X nebo Windows. Git klientů nainstalovaných na systému Linux se tato chyba netýká.

Přičina problému je v tom, že systém umožňuje mít soubor s název .Git/config či jinou podobu velkých písmen v názvu souboru .git/config jako součást repositáře a nakládá s ním jako se standardním souborem, protože ten správný konfigurační soubor .git/config leží vně repositáře. Naneštěstí OS X a Windows používá souborový systém, který nerozlišuje velká a malá písmena, takže při kopírování přepíše původní soubor novým, infikovaným.

Na druhou stranu, riziko není zas tak hrozivé, protože, útočník by musel nejprve na Git nahrát práva pro vytvoření škodlivého úložiště a vy byste museli pracovat s tímto veřejným úložištěm.

Nová verze Git klienta tuto chybu odstraňuje. GitHub také zahájil proces vyhledávání potencionálně infikovaných repositářů.

Další informace na GihHub.


 

 

Zprávu pro vás napsala Nikola Sterziková (PaNika) 23.12.2014 11:34
Avatar
Autorka se věnuje programování webových aplikací v C# a tvorbě MSSQL databází.
Všechny články v sekci
Zprávy ze světa programování
Aktivity (1)

 

 

Komentáře

Avatar
mkub
Redaktor
Avatar
mkub:23.12.2014 13:17

dalsia chyba v zavedenych vlastnostiach opd cias MS-DOS... kedze original Unix, ako aj BSD Unix a aj Linux su case-sensitive, tak subor git/.config sa nikdy nemoze prepisat suborom git/.Config ani na BSD, ako ani na AT&T Unixe

a to, ze OS X nie je case-sensitive ma dost prekvapilo :( pokial viem Unix (vratane BSD, z ktoreho vychadza aj OS X) ako taky je case-senstive uz odzakladu, ale Applaci to vsetko musia poupravovat podla seba...
aspon jakz-tak dodrzuju niektore ine Unix specifika...

 
Odpovědět  +4 23.12.2014 13:17
Avatar
Odpovídá na mkub
Neaktivní uživatel:23.12.2014 13:39

Tak ono kdyby jsi OS X nainstaloval na ext4, tak by to na tuto zranitelnost nebylo náchylné.

Editováno 23.12.2014 13:40
Odpovědět  +1 23.12.2014 13:39
Neaktivní uživatelský účet
Avatar
Michal Vašíček:23.12.2014 14:14

Presne tak, v tom ofiko vyjadreni je primo napsane, ze se to tyka jen systemu bezicich na filesystemu hfs+. Coz je teda vetsina Macu, ale tak...

Odpovědět  +1 23.12.2014 14:14
Příspěvek může obsahovat stopy arašídů, sarkasmu a sóji.
Avatar
mkub
Redaktor
Avatar
Odpovídá na Michal Vašíček
mkub:23.12.2014 21:40

MAC pouziva standardne HFS/HFS+

 
Odpovědět 23.12.2014 21:40
Avatar
Odpovídá na mkub
Michal Vašíček:23.12.2014 21:41

To jo, vsak to nepopiram :)

Odpovědět 23.12.2014 21:41
Příspěvek může obsahovat stopy arašídů, sarkasmu a sóji.
Avatar
mkub
Redaktor
Avatar
Odpovídá na Michal Vašíček
mkub:23.12.2014 21:47

a za ten filesystem by som MACu udelil minusovy bod, ale ked mam porovnavat OSX so Solarisom, tak mam pocit, ze Solaris zaviedol vela pokrocilych vlastnosti a specifikacii, o ktore sa inym ani nesnivalo a Windows doteraz neumoznuje na svojom NTFS take veci ako snapshoty (ked uz BTRFS snapshoty zvlada odzaciatku a myslim, ze BTRFS je ovela pokrokovejsi fs nez je hfs+, resp. NTFS... BTRFS zvlada aj compresiu a v spojeni s DM-Crypt aj sifrovanie na urovni particie)

 
Odpovědět 23.12.2014 21:47
Avatar
Neaktivní uživatel:24.12.2014 11:20

Víc bulvární a zcestné titulky už tu snad být nemůžou. Článek informační hodnotu má, ale ty názvy... tohle není Blesk.

Editováno 24.12.2014 11:20
Odpovědět  ±0 24.12.2014 11:20
Neaktivní uživatelský účet
Avatar
mkub
Redaktor
Avatar
Odpovídá na Neaktivní uživatel
mkub:24.12.2014 15:11

a k tomu ext4, tak to by som si nevedel predstavit, ako by OSX bezalo na ext4, kedze ext4 je filesystem primarne vyvijany pre OS Linux

a ako som cital, tak OSX moze byt taktiez case-sensitive, ale zevraj to potom robi problemy - niektore aplikacie sa odmietaju nainstalovat

 
Odpovědět 24.12.2014 15:11
Avatar
Odpovídá na Neaktivní uživatel
Michal Žůrek - misaz:24.12.2014 15:14

nadpis je sice špatný, ale nemyslím si že by byl bulvární. Chyba není na Githubu, ale v Gitu.

 
Odpovědět 24.12.2014 15:14
Avatar
Odpovídá na mkub
Michal Žůrek - misaz:24.12.2014 15:17

90% uživatelů PC si zvyklo žít bez snapshotu, žádná hrůza to není. To jestli je filesystem case-sensiteve nebo není podle mě vůbec nic nemění na tom, že si to vývojáři mají pohlídat.

To že něco přepíše config by až tak nevadilo, horší je spíše to, že se z toho CONFIGU dá něco spustit. CONFIG má být config, žádné exe.

 
Odpovědět  +1 24.12.2014 15:17
Avatar
Odpovídá na Michal Žůrek - misaz
Neaktivní uživatel:24.12.2014 15:18

Dobrá, tenhle článek není až taková bomba, ale co se tu začaly objevovat zprávičky, dost často jsou to titulky alá Blesk... Tenhle je ale tedy minimálně špatně. Taky to ale může být překlep, protože se nezdá, že by autorka nevěděla, o čem píše. :)

Jen jsem si prostě povzdechnul.

Editováno 24.12.2014 15:19
Odpovědět 24.12.2014 15:18
Neaktivní uživatelský účet
Avatar
Odpovídá na Neaktivní uživatel
Michal Žůrek - misaz:24.12.2014 15:20

a co bys doplnil? Autorka si dala tu práci a dokonce napsala o co za chybu se jedná (že je způsobena case-nesensiteve). To se třeba na zive.cz moc často nestává.

 
Odpovědět  +1 24.12.2014 15:20
Avatar
Odpovídá na Michal Žůrek - misaz
Neaktivní uživatel:24.12.2014 15:22

Myslím ten titulek... ;)

Odpovědět 24.12.2014 15:22
Neaktivní uživatelský účet
Avatar
Odpovídá na Neaktivní uživatel
Michal Žůrek - misaz:24.12.2014 15:23

jak bys ho napsal ty? Podle mě vystihuje to o čem zpráva je.

 
Odpovědět  ±0 24.12.2014 15:23
Avatar
mkub
Redaktor
Avatar
Odpovídá na Michal Žůrek - misaz
mkub:24.12.2014 16:41

a NTFS toho nevie ovela viac...

a co sa tyka toho configu, takak sa nemylim, ma nastaveny priznak +x a v nom sa odkazuje aj na web a myslim, ze prave tu moze byt ta popisana chyba

struktura je takato:

[core]
        repositoryformatversion = 0
        filemode = true
        bare = false
        logallrefupdates = true
[remote "origin"]
        url = https://github.com/...
        fetch = +refs/heads/*:refs/remotes/origin/*
[branch "master"]
        remote = origin
        merge = refs/heads/master
config (END)

kde v sekcii [remote] moze byt aj odkaz na inu stranku a pri noncase-sensitivesystemoch dochadza k jeho prepisaniu upravenym configom, prave preto je tato chyba zavazna pri tychto systemoch

 
Odpovědět 24.12.2014 16:41
Avatar
mkub
Redaktor
Avatar
mkub:24.12.2014 17:04

vedel by som si predstavit take riesenie tejto chyby, ze config by bol iba na ukladanie konfiguracnych nastaveni a github pri uploade este kontroloval informacie, ze ci nevedu na podvrhnutu stranku obsahujucou viry

 
Odpovědět 24.12.2014 17:04
Avatar
Posix
Člen
Avatar
Posix:24.12.2014 20:38

Mohli by už konečně sjednotit to rozlišování velikosti písmen, stejně tak CRLF a LF a podobné věci. Dělá to akorát problémy :@
Nezajímá mě, že by to byla spousta práce. Ať si najmou partu indů a do rána to mají :D

Odpovědět 24.12.2014 20:38
Proč to dělat jednoduše, když to jde složitě.
Avatar
Odpovídá na Posix
Neaktivní uživatel:24.12.2014 20:44

<lessfunnysarcasm>A víš co? Já bych chtěl sjednotit světový mír, měnu a zákony, a z celé planty udělat jednu zemi. Nezajímá mě, že by to byla spousta práce. Si najmu partu indů a do rána to mám.</lessfun­nysarcasm>

Editováno 24.12.2014 20:45
Odpovědět  +1 24.12.2014 20:44
Neaktivní uživatelský účet
Avatar
mkub
Redaktor
Avatar
Odpovídá na Posix
mkub:25.12.2014 7:12

a ked sme pri zjednocovani vlastnosti, tak si zabudol aj na oddelovanie adresarov a podadresarov v ceste a aj na to, ze v jednom systeme sa nove disky pripajaju do adresaroveho stromu zacinajuceho Rootom a v inom systeme sa disky a diskove oddiely oznacuju pismenkami a toho je este ovela viac na zjednocovani :D

ale na tieto odlisnosti by mali vyvojari systemov a aplikacii pamatat

 
Odpovědět 25.12.2014 7:12
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 19 zpráv z 19.