Súlyos sebezhetőségeket javítottak a Git 2.50.1 frissítésében

Segítséget kaptál? Szívesen töltöd itt az idődet? Visszajársz hozzánk? Támogasd a munkákat: Ko-fi és Paypal!

kami911 képe
Beküldte kami911 -

A Git fejlesztőcsapata kiadta a 2.50.1-es verziót, amelyben hét súlyos biztonsági rést foltoztak be. A frissítés minden korábbi Git-verziót érint, és tetszőleges kódfuttatástól a fájlmanipulációig terjedő veszélyek kivédésére készült. Minden felhasználónak haladéktalanul ajánlott a frissítés telepítése. Az új verziók hamarosan elérhetőek lesznek az operációs rendszer csomagtárolóiban és a forráskód letölthető a a projekt weboldaláról és kódtárolójából címeken érhetők el. A v2.50.1-es fő kiadás mellett a régebbi fenntartási verziók ( v2.43.7, v2.44.4, v2.45.4, v2.46.4, v2.47.3, v2.48.2, aés v2.49.1 ) is elérhetők a megszokott helyeken. A Git projekt javasolja, hogy a felhasználók a lehető leghamarabb frissítsenek a legújabb fenntartási kiadásokra, hogy elkerüljék ezeknek a biztonsági hibáknak a kihasználását. Azt is érdemes észben tartani, hogy ezek a biztonsági hibák nem csak a Git projektet érinthetik, hanem más, a Git-re épülő projekteket is, így érdemes más projektek esetében (például: saját környezetben futtatott Gitlab) is ellenőrizni a hasonló biztonsági problémák jelenlétét.

Főbb sebezhetőségek részletesen

CVE-2025-48384 – Submodule hook-okkal történő kódfuttatás

Az egyik legsúlyosabb hibát az okozta, hogy a Git nem megfelelően kezelte a konfigurációs értékek olvasásánál és írásánál a sorvége karaktereket (CR/LF). Ez lehetőséget adott a támadóknak arra, hogy submodule hook-ok segítségével tetszőleges kódot futtassanak le a célgépen.

CVE-2025-48385 – Fájlok írása tetszőleges helyre bundle-ökön keresztül

A Git hiányos ellenőrzést végzett a bundle fájlok letöltésekor, lehetővé téve úgynevezett protokollinjektálási támadásokat. Ezáltal a támadók akár tetszőleges fájlokat is írhatnak a rendszer fájlrendszerének bármely pontjára.

CVE-2025-48386 – Wincred buffer overflow Windows alatt

Windows rendszeren a wincred hitelesítési segédprogramban fedeztek fel egy puffer túlcsordulási hibát. Ez különösen veszélyes, mivel lehetővé teszi a támadók számára, hogy túlcsordulásos támadásokat hajtsanak végre, potenciálisan átvegyék az irányítást a rendszer felett.

Grafikus felületeket érintő sebezhetőségek (Gitk, Git GUI)

A Tcl/Tk alapú Gitk és Git GUI több sérülékenységet tartalmazott, különösen olyan esetekben, amikor a felhasználók speciálisan kialakított repository-kal dolgoztak. Ezek közül a legjelentősebbek:

  • CVE-2025-27613 és CVE-2025-27614: lehetővé tették tetszőleges fájlok módosítását vagy szkriptek lefuttatását rosszindulatúan kialakított fájlneveken keresztül.
  • CVE-2025-46334 (Windows only): a Git GUI használatakor a munkakönyvtárban található, rosszindulatú végrehajtható fájlokat véletlenül elindíthatta a felhasználó.
  • CVE-2025-46335: a Git GUI-n keresztül szintén lehetőség nyílt tetszőleges fájlok felülírására, hasonlóan a fenti Gitk hibákhoz.

Javasolt óvintézkedések, ha a frissítés egyelőre nem lehetséges

Bár a Git 2.50.1 telepítése a legbiztonságosabb megoldás, az alábbi lépésekkel csökkenthető a kockázat:

  • Kerülje a rekurzív submodule klónozást nem megbízható forrásból.
  • Tiltsa le a repository bundle-ök automatikus letöltését.
  • Windows alatt ne használja a wincred hitelesítési segédprogramot.
  • Ne nyissa meg a Gitk és Git GUI programokat ismeretlen vagy megbízhatatlan repository-kban.

A részletes biztonsági jelentés és az érintett fájlok listája a Git hivatalos közleményében található. A Git 2.50.1-es verzió azonnal elérhető minden nagyobb disztribúció és forráskód formájában is.

Ha rendszerén Git található, frissítsen mihamarabb – a nyílt forráskód biztonsága a frissítésekkel kezdődik.