bencede
New member
Git, 2.45.1 sürümüyle istemcilerdeki beş güvenlik açığını ortadan kaldırıyor ve derinlemesine koruma mekanizmaları sunuyor. Tüm işletim sistemleri risk altındadır: Windows, macOS, Linux dağıtımları veya BSD. Eksiklikler depo klonlamayla ilgilidir; biri kritik, ikisi yüksek olarak sınıflandırılmıştır. Sonuç olarak git ekibi, yükseltme işleminin hemen yapılmasını öneriyor ve “hemen yükseltme yapamıyorsanız, depoları nereden kopyaladığınıza dikkat edin.”
Duyuru
Yakın zamanda depo hizmetlerine yönelik bazı saldırıların bilinmesinin ardından git, hizmeti değil istemcileri etkileyen bir güvenlik güncellemesi yayınlıyor. Kullanıcılar, geliştirme ortamlarındaki hem bağımsız programları hem de eklentileri güncellemelidir. Visual Studio otomatik olarak güncellenirken VS Code kullanıcılarının yeni git sürümünü terminale kendilerinin yüklemesi gerekir:
git update-git-for-windows
Ayrıntılı olarak düzeltilen güvenlik açıkları:
VS Code kullanıcıları Git'i terminalde hızlı bir şekilde manuel olarak güncellemelidir.
(Resim: iX)
Yeni güvenlik konsepti: Derinlemesine Savunma
Git, belirli güvenlik açıklarını düzeltmenin yanı sıra, açıklananlara benzer tehditlerle mücadele etmek için yeni güvenlik mekanizmaları sunar. Klonlama sırasında sembolik bağlantıların daha iyi işlenmesi Git'in dosyaları yanlış yere yazmasını önleyecektir. Yetkisiz kodları engellemek için kancalar artık daha yakından inceleniyor. Git şablonu dizini kanca yapılandırması artık kazara veya kötü niyetli değişikliklere karşı korunuyor. Ek olarak git artık .git/ dizinine sembolik bağlantılar konusunda da uyarıda bulunuyor. Özellikle dikkatli kullanıcılar git'in bu uyarıları hata olarak değerlendirdiğini iddia edebilir.
Git ekibinden bir not daha: Yeni derinlemesine savunma koruması, büyük dosya depolama havuzlarını klonlarken hataya neden oluyor. Anahtar yardımcı olur git lfs pull yeni klonda.
(DSÖ)
Haberin Sonu
Duyuru
Yakın zamanda depo hizmetlerine yönelik bazı saldırıların bilinmesinin ardından git, hizmeti değil istemcileri etkileyen bir güvenlik güncellemesi yayınlıyor. Kullanıcılar, geliştirme ortamlarındaki hem bağımsız programları hem de eklentileri güncellemelidir. Visual Studio otomatik olarak güncellenirken VS Code kullanıcılarının yeni git sürümünü terminale kendilerinin yüklemesi gerekir:
git update-git-for-windows
Ayrıntılı olarak düzeltilen güvenlik açıkları:
- CVE-2024-32002 (Kritik; Windows ve macOS): Alt modüllere sahip kötü amaçlı depolar, klonlama sırasında verileri ilgili çalışma dizini yerine .git/ klasörüne aktarmak için git istemcilerini kullanabilir. Bu, manipüle edilmiş sembolik bağlantılar yoluyla elde edilir. Saldırgan git çalışırken kancaları çalıştırabilir (komut dosyalarını otomatik olarak başlatabilir).
- CVE-2024-32004 (Yüksek; Çok Kullanıcılı): Bir saldırgan, yerel bir depoyu, klonlandıktan sonra kendi ayrıcalıklarıyla klonlayıcı üzerinde isteğe bağlı kod yürütebilen bir nesne olmadan sözde kısmi bir klon olarak modelleyebilir.
- CVE-2024-32465 (yüksek; tüm yapılandırmalar): Zip dosyalarından depoların klonlanması güvenlik önlemlerini atlayarak saldırganların güvenli olmayan kancalar eklemesine olanak tanır.
- CVE-2024-32020 (Düşük; Çok Kullanıcılı Makine): Güvenilmeyen kullanıcılar, aynı diskteki klonlanmış depo nesnesi veritabanındaki sabit bağlantıları değiştirebilir.
- CVE-2024-32021 (Düşük; Çok Kullanıcılı): Yerel bir depoyu sembolik bağlantılarla klonlarken, saldırganlar nesne/dizinde sabit bağlantılar oluşturmak için git'i kötüye kullanabilir. Saldırganlar bunu git'in ötesindeki dosya sistemine dosya yazmak için kullanır.
VS Code kullanıcıları Git'i terminalde hızlı bir şekilde manuel olarak güncellemelidir.
(Resim: iX)
Yeni güvenlik konsepti: Derinlemesine Savunma
Git, belirli güvenlik açıklarını düzeltmenin yanı sıra, açıklananlara benzer tehditlerle mücadele etmek için yeni güvenlik mekanizmaları sunar. Klonlama sırasında sembolik bağlantıların daha iyi işlenmesi Git'in dosyaları yanlış yere yazmasını önleyecektir. Yetkisiz kodları engellemek için kancalar artık daha yakından inceleniyor. Git şablonu dizini kanca yapılandırması artık kazara veya kötü niyetli değişikliklere karşı korunuyor. Ek olarak git artık .git/ dizinine sembolik bağlantılar konusunda da uyarıda bulunuyor. Özellikle dikkatli kullanıcılar git'in bu uyarıları hata olarak değerlendirdiğini iddia edebilir.
Git ekibinden bir not daha: Yeni derinlemesine savunma koruması, büyük dosya depolama havuzlarını klonlarken hataya neden oluyor. Anahtar yardımcı olur git lfs pull yeni klonda.
(DSÖ)
Haberin Sonu