Descubierta vulnerabilidad en los clientes de Git

Con el tema Sonyleaks tan candente, cualquier tema referente a bugs o vulnerabilidades adquiere mayor relevancia (aunque no tengan nada que ver). Pues bien, hace tan sólo unas horas la gente de Git, anunció que ha descubierto una vulnerabilidad crítica de lado del cliente de Git que afecta a todas las versiones del cliente oficial de Git y software relacionado como pueda ser Github for Windows o Github for Mac. Si no quieres que Kim Jong-un puede hackearte, actualiza tu cliente de Git y guardate mucho de clonar o acceder a repositorios Git sospechosos o que no garanticen la seguridad (es decir no hay problemas con Github y similares).

GitGit anunció que ha descubierto una vulnerabilidad crítica, de lado del cliente de Git que afecta a todas las versiones del cliente oficial de Git

 

La vulnerabilidad afecta a clientes Git que accedan a repositorios con un sistema de ficheros case-insensitive o case-normalizing. En base a esto un atacante puede crear un árbol malicioso que pueda causar que Git sobreescriba su propio archivo .git/config cuando se clona o hace checkout de un repositorio, permitiendo ejecución arbitraria de comandos en la máquina cliente. Según parece todos los clientes Git corriendo sobre OX X o Windows son vulnerables además de los Linux si su sistema de ficheros es case-insensitive.

Así que ya sabemos, a actualizarse tocan.

Pd: en el blog git-blame explican el exploit y las medidas que se han implementado para arreglarlo con bastante detalle.

Fuente: Genbeta:dev