Una vulnerabilità di Git consente di eseguire codice malevolo durante l’operazione di clone

Mattia Crippa
0

Recentemente Git il software open-source creato da Linus Torvalds nel lontano 2005 ha annunciato e fixato immediatamente una nuova e interessante vulnerabilità, descritta nella CVE-2021-21300, pubblicata il 9 Marzo 2021 sul blog ufficiale di Git.
La vulnerabilità è presente in diverse versioni del sistema di version control, precisamente la 2.15 e successive consentendo a un repository appositamente predisposto di eseguire codice malevolo durante la comune operazione di clone .
Va sottolineato come la vulnerabilità colpisca solo gli utenti con file system senza distinzione tra maiuscole e minuscole e che supportano i collegamenti simbolici abusando di alcuni tipi di filtri clean/smudge, come quelli configurati da Git LFS (Git Large File Storage).
I file system in questione sono dunque NTFS, HFS + o APFS, ovvero i predefiniti su Windows e macOS risparmiando così il mondo Linux.

Il modo più efficace per proteggersi da questa vulnerabilità è eseguire l’aggiornamento alla versione 2.30.2, ma se non è possibile aggiornare immediatamente, si possono ridurre i rischi effettuando una delle seguenti operazioni:

  • Disabilitare il supporto per i collegamenti simbolici in Git eseguendo:
    git config --global core.symlinks false
  • Disabilitare il supporto per i filtri, verificando se qualcuno di questi è configurato sul tuo sistema eseguendo:
    git config --show-scope --get-regexp 'filter\..*\.process
  • Evitare la clonazione di archivi non attendibili.

Interessante sottolineare come GitHub stesso non sia vulnerabile a questo attacco, come indicato nel blog post:

GitHub itself is not vulnerable to this attack. We do not store checked out copies of repositories on our servers, except for GitHub Pages, which does not use any clean/smudge filters.

GitHub stesso non è vulnerabile a questo attacco. Non archiviamo copie dei repository sui nostri server, a eccezione di GitHub Pages, che non utilizza filtri clean/smudge.

Detto questo quindi, come sempre in questi casi, vale l’antica regola: TRUST NO ONE!

Mattia Crippa

Interessato al mondo dell’informatica sin da piccolo, mi piace guardare e interessarmi su tutti i suoi aspetti e applicazioni, specialmente se si parla di server e security.
Se c’è qualcosa che non conosco, adoro approfondire e fare tesoro di ciò che imparo.

, , , ,

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

GitHub
Vai alla sezione Articoli
Vai ai Saturday’s Talks

Categories

Articoli (68) Il mmullato (3) Notizie (2904) Saturday's Talks (46)

Tag cloud

ai (42) Android (32) AWS (30) Bug (67) Canonical (81) CentOS (41) Cloud (59) container (48) Controversia (34) Debian (88) desktop (30) docker (61) Fedora (52) Firefox (36) GitHub (66) Google (85) IBM (49) Intel (54) KDE (35) Kernel (218) Kubernetes (88) Linux (672) LinuxFoundation (31) LTS (32) Malware (53) Microsoft (179) MicrosoftLovesLinux (37) Mozilla (37) open-source (322) Openstack (56) Oracle (34) Patch (30) RaspberryPI (30) Red Hat (154) Release (45) RHEL (36) SaturdaysTalks (45) Sicurezza (90) Software (36) SUSE (34) systemd (73) Torvalds (78) Ubuntu (167) Vulnerabilità (54) Windows (80)