Git Sedang Rawan, Update Segera (CVE-2022-24765)

Pengguna Windows dengan risiko tertinggi dari bug keamanan dalam alat pengembangan perangkat lunak

Sudah waktunya bagi pengembang untuk memperbarui instalasi Git lokal mereka setelah ditemukannya sejumlah kerentanan.

Yang terburuk dari dua kelemahan (CVE-2022-24765) berpotensi memungkinkan penyerang untuk mengeksekusi perintah arbitrer.

Pengembang yang menggunakan Git untuk Windows atau Git pada mesin multi-pengguna adalah yang paling berisiko, seperti yang dijelaskan oleh penasehat oleh GitHub:
Kerentanan ini memengaruhi pengguna yang bekerja pada mesin multi-pengguna di mana aktor jahat dapat membuat direktori .git di lokasi bersama di atas direktori kerja korban saat ini. Di Windows, misalnya, penyerang dapat membuat C:.gitconfig, yang akan menyebabkan semua pemanggilan git yang terjadi di luar repositori untuk membaca nilai yang dikonfigurasi. Karena beberapa variabel konfigurasi (seperti core.fsmonitor) menyebabkan Git mengeksekusi perintah arbitrer, ini dapat menyebabkan eksekusi perintah arbitrer saat bekerja pada mesin bersama.ā€

Pengembang perangkat lunak disarankan untuk meningkatkan sistem mereka ke Git v2.35.2 untuk menjaga dari kemungkinan serangan, yang akan bergantung pada penyerang yang pertama kali mendapatkan akses tulis pada sistem yang ditargetkan.

Pengembang yang menggunakan Git di Linux atau macOS juga terpengaruh oleh cacat CVE-2022-24765, meskipun pada tingkat yang lebih rendah. Menambal dalam semua kasus adalah tindakan yang direkomendasikan tetapi singkatnya, berbagai mitigasi tersedia, seperti yang dijelaskan dalam advisory.

A kerentanan kedua GitHub (CVE-2022-24767) terbatas pada pencopot pemasangan Git untuk Windows. Seperti kelemahan sebelumnya, beberapa tingkat akses yang disusupi merupakan prasyarat untuk potensi serangan, seperti yang dijelaskan oleh penasehat GitHub.

Attacks akan bergantung pada penanaman file .dll berbahaya pada sistem yang ditargetkan.

Pengguna disarankan untuk memperbarui ke Git untuk Windows v2.35.2 tetapi , sekali lagi, sejumlah mitigasi sementara menawarkan alternatif yang layak.

Kredit untuk menemukan kerentanan diberikan kepada tim merah Lockheed Martin.

GitHub menawarkan lokasi terpusat untuk repositori Git, oleh karena itu perannya dalam menandai persyaratan untuk pembaruan perangkat lunak.

YOU MUNGKIN JUGA LIKEKredensial AWS internal digesek oleh peneliti melalui SQL payload

Referensi PortSwigger.com