یک آسیبپذیری با شناسه CVE-2024-32465 و شدت 7.3(بالا) در Git کشف شده است،Git معروفترین و محبوبترین سیستم کنترل ورژن (VSC) جهان میباشد و تمهیدات امنیتی خاصی لحاظ میکند تا عملیات را، حتی با یک منبع نامعتبر تبدیل به یک عملیات امن کند؛ اما آسیبپذیری مذکور، امکان دور زدن این حفاظتها را فراهم میکند. بر اساس بردار حمله این آسیبپذیری CVSS:3.1/AV:P/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H در این نوع حمله، دشمن باید به طور فیزیکی با سیستم هدف تعامل داشته باشد( AV:P)، بهرهبرداری از آن بهراحتی قابل تکرار است و چندان به شرایط خاصی نیاز نیست(AC:L)، برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N) و به تعامل با کاربر نیاز دارد(UI:R)، بهرهبرداری از آسیبپذیری مذکور بر سایر منابع امنیتی تأثیر میگذارد (S:C) و هر سه ضلع امنیت با شدت بسیار زیادی تحت تأثیر قرار میگیرند( C:H/I:H/A:H).
محصولات تحت تأثیر
نسخههای زیر از سیستم کنترل ورژن Git، تحت تاثیر این آسیبپذیری قرار دارند:
• 2.45.1
• 2.44.1
• 2.43.4
• 2.42.2
• 2.41.1
• 2.40.2
• 2.39.4
توصیههای امنیتی
به کاربران توصیه میشود هنگام دریافت فایل(zip) حاوی یک کپی کامل از مخزن، نباید به طور پیش فرض به ایمن بودن آن اعتماد کنند و از استفاده از git در مخازنی که از طریق آرشیو منابع نامعتبر به دست آمده خودداری کنید.
منبع خبر:
- 88