Уязвимость в Git может привести к утечке пользовательских данных.

29.01.2025

Исследования в области кибербезопасности выявили уязвимости Clone2Leak

Обнаруженные угрозы

Исследователь по безопасности из японской компании GMO Flatt Security, известный под псевдонимом RyotaK, обнаружил несколько связанных между собой уязвимостей в системе управления версиями Git, которые были названы Clone2Leak. Эти уязвимости позволяли злоумышленникам получать доступ к учетным данным через помощник по работе с учётными записями Git. Уязвимости были своевременно сообщены разработчикам и устранены.

Работа помощника учетных данных Git

Помощник учётных данных Git — это функция, обеспечивающая безопасное хранение и управление учетной информацией (логинами, паролями или токенами доступа), необходимой для аутентификации с удалёнными репозиториями. Она упрощает процесс аутентификации, сохраняя учётные данные, чтобы пользователям не приходилось вводить их при каждом использовании Git.

Описание уязвимостей

На уязвимости оказалось восприимчиво несколько популярных инструментов: GitHub Desktop, Git LFS, GitHub CLI/Codespaces и Git Credential Manager. Clone2Leak включает в себя три основные уязвимости, связанные с использованием «переноса каретки» в GitHub Desktop и Git Credential Manager, а также «внедрение новой строки» в Git LFS. Помимо этого, исследователь выявил логическую уязвимость в процессе извлечения учетных данных, которая затрагивала GitHub CLI и GitHub Codespaces.

Вывод

Благодаря выявленным уязвимостям и их своевременной ликвидации пользователи системы Git могут защитить свои данные от потенциальных угроз. Однако важно следить за обновлениями и соблюдать меры предосторожности, чтобы подобные инциденты не повторялись в будущем.

Источник: TechRadar