Vulnerabilidades de Seguridad en Git Anunciadas
En una reciente actualización, el proyecto Git ha lanzado nuevas versiones para abordar dos vulnerabilidades de seguridad, identificadas como CVE-2024-50349 y CVE-2024-52006. Estos fallos afectan a todas las versiones anteriores […]
En una reciente actualización, el proyecto Git ha lanzado nuevas versiones para abordar dos vulnerabilidades de seguridad, identificadas como CVE-2024-50349 y CVE-2024-52006. Estos fallos afectan a todas las versiones anteriores de Git, y la comunidad de desarrollo ha actuado rápidamente para ofrecer soluciones efectivas.
La vulnerabilidad CVE-2024-50349 se presenta cuando Git necesita completar credenciales de usuario de manera interactiva, sin utilizar un asistente de credenciales. En este proceso, Git muestra el nombre de un host y solicita al usuario que complete el usuario y la contraseña correspondientes. Sin embargo, el problema surge cuando Git imprime el nombre del host después de decodificar la URL, lo que permite a un atacante crear URLs con secuencias de escape ANSI. Estas secuencias pueden ser utilizadas para construir un mensaje engañoso, incitando al usuario a compartir credenciales para un host diferente controlado por el atacante.
Por otra parte, CVE-2024-52006 está relacionada con el uso de un asistente de credenciales. Aquí, se emplea un protocolo basado en líneas para intercambiar información entre Git y el asistente de credenciales. Un URL especialmente configurada con un retorno de carro puede inyectar valores no deseados en el flujo del protocolo. Esto podría resultar en que el asistente recupere la contraseña de un servidor y la envíe a otro, una acción que podría tener serias implicaciones de seguridad.
Como medida de protección, se recomienda a los usuarios actualizar a Git 2.48.1. En caso de que la actualización no sea inmediata, se aconseja evitar clonar repositorios no confiables usando el comando git clone con --recurse-submodules, y limitar el uso del asistente de credenciales a clones de repositorios disponibles públicamente.
GitHub, en su compromiso con la seguridad, ha tomado acciones proactivas al programar lanzamientos de GitHub Desktop, Git LFS, y Git Credential Manager para prevenir la explotación de estas vulnerabilidades a partir de hoy, 14 de enero. Además, han parcheado productos como GitHub Codespaces y el CLI de GitHub afectados por vulnerabilidades similares.
Las vulnerabilidades fueron reportadas por el investigador RyotaK y las soluciones implementadas fueron desarrolladas por Johannes Schindelin, con el apoyo y revisión de miembros del correo privado de seguridad de Git. Esto subraya la importancia de la colaboración en la comunidad open source para mantener la seguridad y estabilidad de las herramientas digitales más utilizadas en la actualidad.
vía: Github Open Source
What's Your Reaction?
