Git 프로젝트, Git에 존재하는 원격 코드 실행 취약점 수정

Git Project Patches Remote Code Execution Vulnerability in Git

Git 프로젝트가 어제 Git 명령어 라인 클라이언트, Git 데스크탑, Atom에 존재하는 치명적인 원격 코드 실행 취약점을 수정했다고 발표했습니다. 이 취약점은 악성 저장소가 취약한 기기에서 원격으로 명령을 실행하도록 허용할 수 있었습니다.

이 취약점은 CVE-2018-17456로 등록 되었으며, 이전에 발견 된 옵션 인젝션 취약점인 CVE-2017-1000117과 유사합니다. 이전 취약점과 같이, 악성 저장소는 대시(-)로 시작하는 URL을 포함한 .gitmodules 파일을 생성할 수 있었습니다.

대시를 사용하면, Git이 --recurse-submodules 인수를 사용해 저장소를 복제할 때 명령어가 해당 URL을 옵션으로 해석해 컴퓨터에서 원격 코드를 실행하는데 사용될 수 있습니다.

“Git이 "git clone --recurse-submodules"를 실행할 때, 이는 URL 필드를 위해 제공 된 .gitmodules 파일을 파싱 후 별 다른 확인 없이 “git clone” 서브 프로세스로 인수로써 전달합니다. 이 URL 필드가 대시로 시작하는 문자열로 설정 되어 있을 경우, “git clone” 서브프로세스는 해당 URL을 옵션으로 해석합니다. 이로써 “Git clone”을 실행한 사용자의 권한으로 수퍼프로젝트로 전달 된 임의의 스크립트가 실행 되는 결과를 낳을 수 있습니다.”

이전 취약점에서 사용 된 악성 .gitmodules의 예는 아래와 같습니다. URL이 –로 시작 되어 Git이 이를 옵션으로 인식해 "touch VULNERABLE/git@github.com:/timwr/test.git" 명령어가 실행 됩니다.

[submodule "test"]

path = test

url = ssh://-oProxyCommand=touch VULNERABLE/git@github.com:/timwr/test.git

이 취약점은 Git t v2.19.1 (backport: v2.14.5, v2.15.3, v2.16.5, v2.17.2, v2.18.1), GitHub Desktop 1.4.2, Github Desktop 1.4.3-beta0, Atom 1.31.2, Atom 1.32.0-beta3에서 수정 되었습니다.

Git 프로젝트는 모든 사용자들이 Git 클라이언트, Github Desktop, Atom을 가능한 빨리 최신 버전으로 업그레이드 하기를 강력히 권장했습니다.

출처 :

https://www.bleepingcomputer.com/news/security/git-project-patches-remote-code-execution-vulnerability-in-git/