به روزرسانی های «حیاتی» در گیت هاب

گیت هاب (GitHub) پس از مشاهده 9 مورد آسیب‌پذیری امنیتی در کد متن ­باز برنامه کنترل سیستم، کاربران را ملزم کرده به‌روزرسانی‌های «حیاتی» را بر روی کدهای پروژه گیت انجام دهند.

در این میان، کاربران گیتی که از ویندوز استفاده می‌کنند باید در سریع‌ترین زمان ممکن این به‌روزرسانی‌ها را انجام دهند چرا که این نقص، امکان «بازنویسی مسیرهای دلخواه، اجرای کد از راه دور و/یا بازنویسی فایل‌ها در مسیر /git. » را در اختیار نفوذگران قرار می‌دهد.

پروژه گیت در ابتدا جهت پشتیبانی از توسعه هسته لینوکس به وجود آمد. گیت یکی از برنامه‌هایی است که تغییرات به وجود آمده در فایل‌ها را ردگیری می‌کند. به محض نصب بر روی سیستم می‌تواند جهت ایجاد مخازن ذخیره‌سازی یا یک پوشه /git. درون پروژه مورد استفاده قرار گیرد. آسیب‌پذیری‌های گیت در تئوری ممکن است جهت سرقت IPهای تبلیغاتی حساس یا دستکاری کدها به کار برده شوند.

آسیب‌پذیری‌های پروژه گیت

Johannes Schindelin از اعضای پروژه گیت می‌گوید: «در میان این آسیب‌پذیری‌ها، آسیب‌پذیری CVE-2019-1350 وجود دارد که در اثر نشانه‌گذاری‌های اشتباه در آرگومان‌های خط فرمان، اجازه اجرای کد از راه دور، آن هم در زمان کپی بازگشتی URL های SSH را می‌دهد».

وی می­ گوید: «این مشکل تنها برای سیستم عامل ویندوز است، چرا که کد آسیب‌پذیر تنها بر روی ویندوز کار می­ کند. این اکسپلویت حاوی ماژولی است که در انتهای نام آن “ / “  و یک SSH URL جعلی قرار دارد. این نشانی الکترونیکی جعلی، از باگ موجود برای ارسال گزینه‌های دلخواه به  SSH.exe استفاده کرده و امکان اجرای کد از راه دور را در طول فرایند کپی­ برداری متناوب فراهم می‌کند».

منبع: cbronline