Una vulnerabilità di Git consente di eseguire codice malevolo durante l’operazione di clone

git logo

Recentemente Git il software open-source creato da Linus Torvalds nel lontano 2005 ha annunciato e fixato immediatamente una nuova e interessante vulnerabilità, descritta nella CVE-2021-21300, pubblicata il 9 Marzo 2021 sul blog ufficiale di Git.
La vulnerabilità è presente in diverse versioni del sistema di version control, precisamente la 2.15 e successive consentendo a un repository appositamente predisposto di eseguire codice malevolo durante la comune operazione di clone .
Va sottolineato come la vulnerabilità colpisca solo gli utenti con file system senza distinzione tra maiuscole e minuscole e che supportano i collegamenti simbolici abusando di alcuni tipi di filtri clean/smudge, come quelli configurati da Git LFS (Git Large File Storage).
I file system in questione sono dunque NTFS, HFS + o APFS, ovvero i predefiniti su Windows e macOS risparmiando così il mondo Linux.

git lfs logo

Il modo più efficace per proteggersi da questa vulnerabilità è eseguire l’aggiornamento alla versione 2.30.2, ma se non è possibile aggiornare immediatamente, si possono ridurre i rischi effettuando una delle seguenti operazioni:

  • Disabilitare il supporto per i collegamenti simbolici in Git eseguendo:
    git config --global core.symlinks false
  • Disabilitare il supporto per i filtri, verificando se qualcuno di questi è configurato sul tuo sistema eseguendo:
    git config --show-scope --get-regexp 'filter\..*\.process
  • Evitare la clonazione di archivi non attendibili.

Interessante sottolineare come GitHub stesso non sia vulnerabile a questo attacco, come indicato nel blog post:

GitHub itself is not vulnerable to this attack. We do not store checked out copies of repositories on our servers, except for GitHub Pages, which does not use any clean/smudge filters.

GitHub stesso non è vulnerabile a questo attacco. Non archiviamo copie dei repository sui nostri server, a eccezione di GitHub Pages, che non utilizza filtri clean/smudge.

Detto questo quindi, come sempre in questi casi, vale l’antica regola: TRUST NO ONE!

Interessato al mondo dell’informatica sin da piccolo, mi piace guardare e interessarmi su tutti i suoi aspetti e applicazioni, specialmente se si parla di server e security.
Se c’è qualcosa che non conosco, adoro approfondire e fare tesoro di ciò che imparo.

Fonte: https://www.miamammausalinux.org/2021/03/una-vulnerabilita-di-git-consente-di-eseguire-codice-malevolo-durante-loperazione-di-clone/

Visited 2 times, 1 visit(s) today
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!

Hai dubbi o problemi? Ti aiutiamo noi!

Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.
Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
Amazon Music
Scopri le ultime offerte per dischi ssd su Acquista su Amazon
Scopri le ultime offerte per memorie RAM DDR su Acquista su Amazon
Scopri le ultime offerte per Chromebook su Acquista su Amazon
Scopri le ultime offerte per Raspberry su Acquista su Amazon

Potrebbero interessarti anche...

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.